Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Олег Иванов 14 Мая 2018 - 08:46
...
Новая брешь в Electron: Skype, Twitch, GitHub, могут быть в опасности

Эксперты в области безопасности обнаружили новую уязвимость в разработанном GitHub фреймворке Electron. Популярные настольные приложения — Skype, Slack, GitHub Desktop, Twitch, WordPress.com и другие — могут быть в опасности.

Напомним, что Electron позволяет разрабатывать нативные графические приложения для настольных операционных систем с помощью веб-технологий. Фреймворк включает в себя Node.js, для работы с back-end, и библиотеку рендеринга из Chromium.

API-интерфейсы Node.js и встроенные модули предоставляют разработчикам более широкую интеграцию с ОС, соответственно, позволяя получить доступ к большему количеству функций ОС. Чтобы помешать использованию функций ОС во вредоносных целях, команда Electron создала механизм, который предотвращает атаки на приложения.

«Приложения на основе Electron, как правило, представляют собой веб-приложения. Это значит, что они подвержены риску атак межсайтового скриптинга из-за неспособности правильно обработать вводимую пользователем информацию», — говорится в отчете, опубликованном Trustwave.

«Стандартное приложение Electron включает в себя доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Благодаря этому возможность XSS-атаки сильно возрастает, так как злоумышленник может выполнить системные команды на стороне клиента».

У приложений, запускающих HTML и JS-код, по умолчанию включена опция «nodeIntegration: false», это значит, что доступ к API и модулям Node.js по умолчанию отключен. Тег WebView позволяет разработчикам встраивать контент — например, веб-страницу — в приложение на основе Electron и запускать его как отдельный процесс.

«При использовании тега WebView вы также можете передавать несколько атрибутов, включая nodeIntegration», — продолжают эксперты.

Исследователь Trustwave Брендан Скарвелл обнаружил, что можно изменить параметр nodeIntegration на «true», что позволит вредоносному приложению получить доступ к API и модулям Node.js и использовать дополнительные функции ОС.

Уязвимость можно проэксплуатировать только в том случае, если разработчик приложения специально не установит параметр «webviewTag: false» в файле конфигурации webPreferences.

Эксперт опубликовал подтверждающий концепцию бреши код (proof-of-concept), который злоумышленник может использовать для XSS-атаки.

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Дуров назвал шифрование WhatsApp крупнейшим обманом пользователей
Екатерина Быстрова 10 Апреля 2026 - 09:43
Домашние пользователи Защита персональных данных
Дуров назвал шифрование WhatsApp крупнейшим обманом пользователей

Основатель Telegram Павел Дуров жёстко высказался в адрес WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России), заявив, что разговоры о защищённости переписки в этом мессенджере — не более чем иллюзия. По его словам, функция шифрования в WhatsApp может оказаться «самым крупным мошенничеством в отношении потребителей в истории».

Об этом Дуров написал в своём телеграм-канале. Он заявил, что миллиарды пользователей якобы введены в заблуждение обещаниями полной конфиденциальности.

По его версии, несмотря на публичные заявления о защите сообщений, WhatsApp читает переписку пользователей и передаёт данные третьим сторонам.

 

На этом фоне Дуров отдельно подчеркнул позицию Telegram. По его словам, сервис никогда не позволял себе читать личные сообщения пользователей и не собирается делать этого в будущем. Он заверил, что для Telegram конфиденциальность переписки остаётся принципиальным вопросом.

Кроме того, основатель мессенджера сравнил подходы двух платформ к защите данных. По его мнению, Telegram использует более жёсткие правила в этой сфере, что помогает лучше защищать личную информацию и снижать риск утечек.

Напомним, на днях Дуров связал критику Telegram с попытками усилить цензуру и контроль в ЕС.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Геймпады в Android 17 станет удобнее настраивать без возни с каждой игрой
Новость
Геймпады в Android 17 станет удобнее настраивать без возни с...
В Windows появился способ избавиться от клавиши Copilot
Новость
В Windows появился способ избавиться от клавиши Copilot
Дуров связал критику Telegram с попытками усилить цензуру и контроль в ЕС
Новость
Дуров связал критику Telegram с попытками усилить цензуру и...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.