WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Lỗ hổng nghiêm trọng ảnh hưởng đến các ứng dụng Windows phổ biến được viết trên nền tảng Electron JS
Một lỗ hổng thực thi mã từ xa nghiêm trọng trong Electron - một nền tảng ứng dụng web phổ biến có mặt trên hàng nghìn ứng dụng cho máy tính được sử dụng rất rộng rãi như Skype, Signal,Wordpress và Slack – vừa được phát hiện.
Electron là nền tảng mã nguồn mở được phát triển dựa trên Node.js và Chromium Engine, cho phép nhà phát triển xây dựng các ứng dụng desktop đa nền tảng trên Windows, macOS và Linux mà không cần kiến thức về các ngôn ngữ lập trình của từng nền tảng này.
Lỗ hổng CVE-2018-1000006 chỉ ảnh hưởng đến các ứng dụng chạy hệ điều hành Microsoft Windows và đăng ký handler mặc định với giao thức là myapp://.
Nhóm phát triển Electron xác nhận những ứng dụng được thiết kế cho hệ điều hành macOS và Linux, cũng như những ứng dụng (bao gồm cả Windows) không đăng ký handler mặc định cho giao thức là myapp:// sẽ không bị ảnh hưởng bởi lỗ hổng này.
Họ cũng đã phát hành hai phiên bản mới 1.8.2-beta.4, 1.7.11 và 1.6.16 để vá lỗ hổng nghiêm trọng này.
Công ty này cho biết: “Nếu vì một vài nguyên nhân, bạn không thể nâng cấp phiên bản Electron mới, bạn có thể thêm – như là đối số cuối khi gọi app.setAsDefaultProtocolClient để ngăn chặn Chromium phân tích các cú pháp sau đó”.
Theo các chuyên gia, người dùng cuối không thể làm gì với lỗ hổng này, thay vào đó, các nhà phát triển dùng nền tảng Electron JS phải nâng cấp các ứng dụng của mình ngay lập tức để bảo vệ cơ sở dữ liệu người dùng.
Vì lý do an ninh, chi tiết về lỗ hổng thực thi mã từ xa cũng như tên của các ứng dụng dính lỗ hổng vẫn chưa được tiết lộ.
Lỗ hổng CVE-2018-1000006 chỉ ảnh hưởng đến các ứng dụng chạy hệ điều hành Microsoft Windows và đăng ký handler mặc định với giao thức là myapp://.
Nhóm phát triển Electron xác nhận những ứng dụng được thiết kế cho hệ điều hành macOS và Linux, cũng như những ứng dụng (bao gồm cả Windows) không đăng ký handler mặc định cho giao thức là myapp:// sẽ không bị ảnh hưởng bởi lỗ hổng này.
Họ cũng đã phát hành hai phiên bản mới 1.8.2-beta.4, 1.7.11 và 1.6.16 để vá lỗ hổng nghiêm trọng này.
Công ty này cho biết: “Nếu vì một vài nguyên nhân, bạn không thể nâng cấp phiên bản Electron mới, bạn có thể thêm – như là đối số cuối khi gọi app.setAsDefaultProtocolClient để ngăn chặn Chromium phân tích các cú pháp sau đó”.
Theo các chuyên gia, người dùng cuối không thể làm gì với lỗ hổng này, thay vào đó, các nhà phát triển dùng nền tảng Electron JS phải nâng cấp các ứng dụng của mình ngay lập tức để bảo vệ cơ sở dữ liệu người dùng.
Vì lý do an ninh, chi tiết về lỗ hổng thực thi mã từ xa cũng như tên của các ứng dụng dính lỗ hổng vẫn chưa được tiết lộ.
Theo The Hacker News