В январском патче для Electron обнаружились новые проблемы безопасности

Олег Иванов 25 Мая 2018 - 09:49

...

В январском патче для Electron обнаружились новые проблемы безопасности

Разработчики Electron на прошлой неделе выпустили обновление, дополняющее их январский патч. Исследователи объяснили, почему первого патча было недостаточно. Напомним, что Electron позволяет разрабатывать нативные графические приложения для настольных операционных систем с помощью веб-технологий. Популярные настольные приложения — Skype, Slack, GitHub Desktop, Twitch, WordPress.com и другие — разрабатываются с его помощью.

Уязвимость, приводящая к удаленному выполнению кода (CVE-2018-1000006), была обнаружена в приложениях Windows, разработанных с использованием Electron.

Это баг может быть использован для запуска произвольных команд на компьютере под управлением Windows. Для эксплуатации достаточно заставить пользователя кликнуть по специально созданному URL-адресу.

Предполагается, что недостаток был устранен 22 января, однако исследователь в области безопасности из компании Doyensec, внимательно изучив патч, обнаружил дополнительные проблемы.

В четверг эксперт поделился своими выводами, отметив, что новая проблема позволяет совершить атаку «Человек посередине» (man-in-the-middle), приводя к утечке информации из приложения, а также выполнить произвольные команды.

Проблема существует из-за неверно реализованного правила хостов в черном списке. Таким образом, злоумышленник может установить правила для переписывания доменных имен, выданных libchroumiumcontent.

Специалист опубликовал видео, в котором демонстрируется состоятельность атаки на Windows-версию клиента Skype.

«Злоумышленник может перехватить трафик, генерируемый Chromium», — пишет эксперт.

Недавно мы сообщали, что исследователи в области безопасности обнаружили новую уязвимость в разработанном GitHub фреймворке Electron. Популярные настольные приложения — Skype, Slack, GitHub Desktop, Twitch, WordPress.com и другие — могут быть в опасности.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 13 Мая 2026 - 11:43

Windows Домашние пользователи Корпорации Защита персональных компьютеров Защита от сбоев Microsoft

Windows научится сама откатывать проблемные драйверы

Microsoft готовит новую функцию восстановления Windows под названием Cloud-Initiated Driver Recovery. Она должна автоматически откатывать проблемные драйверы, установленные через Windows Update. Идея простая: если после обновления драйвера компьютер начинает сбоить, уходить в BSOD, зависать или вообще перестаёт нормально загружаться, Windows попытается исправить ситуацию самостоятельно.

Проблемные драйверы уже много лет остаются одной из главных причин нестабильности Windows. Неудачное обновление драйвера видеокарты, звука, чипсета или накопителя может легко привести к сбоям и проблемам с загрузкой системы.

Сейчас пользователям в таких случаях часто приходится вручную откатывать драйверы, загружаться в безопасном режиме или использовать фирменные утилиты производителей. Новый механизм Microsoft хочет сделать этот процесс автоматическим.

Работать система будет через уже существующую инфраструктуру Windows Update. Если Microsoft обнаружит, что какой-то драйвер вызывает массовые проблемы, компания сможет отправить затронутым устройствам специальный запрос на восстановление.

После этого Windows автоматически удалит проблемный драйвер и установит предыдущую рабочую версию или другой совместимый драйвер, уже проверенный и доступный через Windows Update.

При этом Microsoft подчёркивает: отдельные утилиты восстановления, OEM-инструменты или новые компоненты системы для этого не понадобятся.

Есть и ограничение. Автоматический откат сработает только в том случае, если для устройства уже существует одобренный резервный драйвер в базе Windows Update. Если подходящей замены нет, пользователю всё равно придётся решать проблему вручную или ждать исправления от производителя.

Тем не менее новая функция может заметно сократить время простоя во время массовых проблем с драйверами.

Тестирование Cloud-Initiated Driver Recovery Microsoft планирует начать в период с мая по август 2026 года. Полноценный запуск автоматического механизма сейчас намечен на сентябрь 2026-го.

Функция стала частью более широкой работы Microsoft над стабильностью и отзывчивостью Windows. Компания также продолжает оптимизировать производительность Windows 11 и интерфейсов на базе WinUI 3.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!