forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в приложениях на базе платформы Electron"
Отправлено opennews, 24-Янв-18 13:21

В платформе Electron (https://electronjs.org/), позволяющей создавать обособленные приложения на основе движка Chromium и системы Node.js, выявлена (https://electronjs.org/blog/protocol-handler-fix) уязвимость (CVE-2018-1000006), которая может привести к удалённому выполнению кода в приложениях, использующих собственные обработчики протокола. Потенциально проблема может проявляться в Windows-сборках таких приложений, как Skype, Signal, Slack, Basecamp и Wordpress Desktop. Детали о способе эксплуатации пока не раскрываются, но судя по всему, для атаки требуется переход по специально оформленной ссылке.
Проблема специфична для Windows и проявляется только на данной платформе, при регистрации приложением своих обработчиков протоколов (например, "slack://" или "skype://") любыми доступными методами, включая API app.setAsDefaultProtocolClient и изменение записи в реестре. Сборки для macOS и Linux проблеме не подвержены. Уязвимость устранена (https://github.com/electron/electron/releases) в выпусках Electron 1.6.16, 1.7.11 и 1.8.2-beta.4. Что касается приложений, то проблема уже устранена в Slack 3.0.3 и в свежем обновлении Skype.
URL: https://www.theregister.co.uk/2018/01/24/skype_signal_slack_.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=47957

Исходное сообщение
"Уязвимость в приложениях на базе платформы Electron" Отправлено opennews, 24-Янв-18 13:21
В платформе Electron (https://electronjs.org/), позволяющей создавать обособленные приложения на основе движка Chromium и системы Node.js, выявлена (https://electronjs.org/blog/protocol-handler-fix) уязвимость (CVE-2018-1000006), которая может привести к удалённому выполнению кода в приложениях, использующих собственные обработчики протокола. Потенциально проблема может проявляться в Windows-сборках таких приложений, как Skype, Signal, Slack, Basecamp и Wordpress Desktop. Детали о способе эксплуатации пока не раскрываются, но судя по всему, для атаки требуется переход по специально оформленной ссылке. Проблема специфична для Windows и проявляется только на данной платформе, при регистрации приложением своих обработчиков протоколов (например, "slack://" или "skype://") любыми доступными методами, включая API app.setAsDefaultProtocolClient и изменение записи в реестре. Сборки для macOS и Linux проблеме не подвержены. Уязвимость устранена (https://github.com/electron/electron/releases) в выпусках Electron 1.6.16, 1.7.11 и 1.8.2-beta.4. Что касается приложений, то проблема уже устранена в Slack 3.0.3 и в свежем обновлении Skype. URL: https://www.theregister.co.uk/2018/01/24/skype_signal_slack_.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=47957

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В платформе Electron (https://electronjs.org/), позволяющей создавать обособленные 
> приложения на основе движка Chromium и системы Node.js, выявлена (https://electronjs.org/blog/protocol-handler-fix) 
> уязвимость (CVE-2018-1000006),  которая может привести к удалённому выполнению кода в 
> приложениях, использующих собственные обработчики протокола. Потенциально проблема 
> может проявляться в Windows-сборках  таких приложений, как Skype, Signal, Slack, 
> Basecamp и Wordpress Desktop. Детали о способе эксплуатации пока не раскрываются, 
> но судя по всему, для атаки требуется переход по специально оформленной 
> ссылке.

> Проблема специфична для Windows и проявляется только на данной платформе, при регистрации 
> приложением своих обработчиков протоколов (например, "slack://" или "skype://") любыми 
> доступными методами, включая API app.setAsDefaultProtocolClient  и изменение записи в 
> реестре. Сборки для macOS и Linux  проблеме не подвержены. Уязвимость 
> устранена (https://github.com/electron/electron/releases) в выпусках Electron 1.6.16, 
> 1.7.11 и 1.8.2-beta.4. Что касается приложений, то проблема  уже устранена 
> в Slack 3.0.3 и в свежем обновлении Skype.

> URL: https://www.theregister.co.uk/2018/01/24/skype_signal_slack_nherit_electron_vuln/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47957

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру