Приложения Skype, Slack и Signal объединены одной уязвимостью

Олег Иванов 24 Января 2018 - 13:18

...

Приложения Skype, Slack и Signal объединены одной уязвимостью

Разработчикам приложений для Windows на основе Electron необходимо проверить, затрагивает ли их разработки недавно обнаруженная уязвимость удаленного выполнения кода.

Electron представляет собой фреймворк node.js и Chromium, позволяющий разработчикам использовать веб-технологии (JavaScript, HTML и CSS) для создания десктопных приложений. Он широко используется в следующих приложениях: Skype, Slack, Signal.

Таким образом, пользователи Slack должны обновить приложение до версии 3.0.3 или выше. По словам Microsoft, последняя версия Skype для Windows не затронута данной брешью.

На данный момент представители Electron опубликовали только ограниченную информацию об уязвимости, получившей идентификатор CVE-2018-1000006, но известно, что влияет на приложения Windows, которые используют собственные обработчики протоколов в фреймворке.

«Приложения на основе Electron, предназначенные для работы в Windows и регистрирующиеся как обработчики протокола по умолчанию, например, myapp://, уязвимы. Такие приложения могут быть подвержены проблеме безопасности независимо от способа регистрации протокола», — сказано в официальном сообщении.

В настоящее время выпущены две исправленные версии Electron — 1.7.11, и 1.6.16.

«Если по каком-то причинам не можете обновить версию Electron, вы можете добавить ее в качестве последнего аргумента при вызове app.setAsDefaultProtocolClient, который не позволяет Chromium анализировать дополнительные параметры», — подводят итог разработчики.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Сентября 2025 - 19:00

Уязвимости сайтов Общее

Поддельные TLS-сертификаты для 1.1.1.1 поставили под удар Windows и Edge

Исследователи безопасности сообщили, что в мае 2025 года были выпущены три невалидных TLS-сертификата для IP-адреса 1.1.1.1 — популярного публичного DNS-сервиса, который управляется Cloudflare и APNIC.

Эти сертификаты выдала компания Fina RDC 2020, входящая в цепочку доверия Microsoft.

Из-за этого сертификаты автоматически считались валидными в Windows и браузере Microsoft Edge. А вот Chrome, Firefox и Safari изначально не доверяли Fina, поэтому пользователи этих браузеров не пострадали.

Почему это опасно? Поддельный сертификат позволяет злоумышленникам выдавать себя за легитимный сервер и перехватывать зашифрованный трафик. В случае с 1.1.1.1 это означало риск раскрытия истории посещённых сайтов и привычек пользователей.

Cloudflare заявила, что никаких запросов на выпуск сертификатов не делала и узнала о проблеме из публичных логов Certificate Transparency. После этого компания сразу связалась с Microsoft и регуляторами, чтобы добиться отзыва «левых» сертификатов. При этом сервис WARP VPN, по словам Cloudflare, проблема не затронула.

Microsoft подтвердила, что уже потребовала от Fina отозвать сертификаты и намерена добавить их в список запрещённых. Однако остаётся вопрос — почему нарушение оставалось незамеченным почти четыре месяца.

Инцидент снова показал слабое место: один ошибочный или скомпрометированный центр сертификации может поставить под угрозу миллионы пользователей.