Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности
Главная » Новости

Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Олег Иванов 14 Мая 2018 - 08:46
...
Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Эксперты в области безопасности обнаружили новую уязвимость в разработанном GitHub фреймворке Electron. Популярные настольные приложения — Skype, Slack, GitHub Desktop, Twitch, WordPress.com и другие — могут быть в опасности.

Напомним, что Electron позволяет разрабатывать нативные графические приложения для настольных операционных систем с помощью веб-технологий. Фреймворк включает в себя Node.js, для работы с back-end, и библиотеку рендеринга из Chromium.

API-интерфейсы Node.js и встроенные модули предоставляют разработчикам более широкую интеграцию с ОС, соответственно, позволяя получить доступ к большему количеству функций ОС. Чтобы помешать использованию функций ОС во вредоносных целях, команда Electron создала механизм, который предотвращает атаки на приложения.

«Приложения на основе Electron, как правило, представляют собой веб-приложения. Это значит, что они подвержены риску атак межсайтового скриптинга из-за неспособности правильно обработать вводимую пользователем информацию», — говорится в отчете, опубликованном Trustwave.

«Стандартное приложение Electron включает в себя доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Благодаря этому возможность XSS-атаки сильно возрастает, так как злоумышленник может выполнить системные команды на стороне клиента».

У приложений, запускающих HTML и JS-код, по умолчанию включена опция «nodeIntegration: false», это значит, что доступ к API и модулям Node.js по умолчанию отключен. Тег WebView позволяет разработчикам встраивать контент — например, веб-страницу — в приложение на основе Electron и запускать его как отдельный процесс.

«При использовании тега WebView вы также можете передавать несколько атрибутов, включая nodeIntegration», — продолжают эксперты.

Исследователь Trustwave Брендан Скарвелл обнаружил, что можно изменить параметр nodeIntegration на «true», что позволит вредоносному приложению получить доступ к API и модулям Node.js и использовать дополнительные функции ОС.

Уязвимость можно проэксплуатировать только в том случае, если разработчик приложения специально не установит параметр «webviewTag: false» в файле конфигурации webPreferences.

Эксперт опубликовал подтверждающий концепцию бреши код (proof-of-concept), который злоумышленник может использовать для XSS-атаки.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

PT Surveying: вышел сервис для оценки киберустойчивости компаний
Екатерина Быстрова 31 Июля 2025 - 15:47
Малый и средний бизнесКорпорации Системы для анализа защищенности информационных системАудит информационной безопасности Positive Technologies
PT Surveying: вышел сервис для оценки киберустойчивости компаний

Positive Technologies представила новый сервис под названием PT Surveying. Он помогает организациям понять, насколько они и их партнёры устойчивы к кибератакам — как снаружи, так и изнутри. Это особенно актуально на фоне роста атак через подрядчиков и цепочки поставок: по данным компании, в 2024 году треть всех серьёзных инцидентов произошла по вине сторонних организаций.

Сервис оценивает не только саму компанию, но и её дочерние структуры, поставщиков или подрядчиков — чтобы понять, не становятся ли они «слабым звеном». Проверка охватывает несколько направлений:

  • Быстрая оценка внешнего периметра: ищутся уязвимости, через которые потенциально может произойти взлом.
  • Анализ цифровых угроз: изучается, что о компании известно в даркнете и на теневых форумах — есть ли данные об утечках, продаже доступов или готовящихся атаках.
  • Ретроспективный анализ событий информационной безопасности: проверяются логи и системные уведомления, чтобы выявить возможные признаки компрометации.
  • Оценка внутренних процессов: изучаются политики, методы защиты и восстановления, анкеты по ИБ.

После анализа компания получает отчёт с рейтингом киберустойчивости, выявленными проблемами, потенциальными векторами атак и рекомендациями, что именно стоит улучшить. В некоторых случаях в отчёте могут быть зафиксированы признаки уже произошедшего взлома — например, странные подключения, запуск подозрительных файлов или отключение логирования. В среднем работа по оценке занимает около двух недель.

PT Surveying может использоваться в самых разных сценариях — от проверки безопасности собственных подрядчиков до подготовки к сделкам слияния и поглощения, оформления страхования или выдачи кредитов. По сути, это инструмент, с помощью которого можно наглядно и без лишней технической сложности понять, какие риски несёт взаимодействие с той или иной организацией — и вовремя на них отреагировать.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Жертва мошенников по требованию аферистов разлила в офисе банка зеленку
Новость
Жертва мошенников по требованию аферистов разлила в офисе ба...
Целевые атаки через драйверы Adreno: Qualcomm предупреждает и латает
Новость
Целевые атаки через драйверы Adreno: Qualcomm предупреждает...
Использование генеративного ИИ ухудшает качество кода
Новость
Использование генеративного ИИ ухудшает качество кода

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.