広く使われているクロスプラットホームな開発フレームワークElectronのセキュリティチェックをバイパスするエクスプロイトが登場した。Trustwaveがポストしたそのエクスプロイトはすでにパッチされたので、デベロッパーは自分のアプリケーションを早急にアップデートすべきである。
そのエクスプロイトは一部のアプリケーションでnodeIntegrationの設定によりクロスサイトスクリプティングを可能にする。このメソッドでアプリケーションは自分のモジュールに接続できるだけでなく、Node.jsのモジュールにも接続できるようになる。
発表から引用しよう:
Electronのアプリケーションは基本的にWebアプリケーションであり、したがってユーザーの入力を正しく無害化できなかった場合にはクロスサイトスクリプティング(XSS)攻撃に対し無防備になる。Electronのデフォルトのアプリケーションは自分のAPIだけでなくNode.jsのすべての内蔵モジュールへのアクセスを含んでいる。そのためXSSの危険性は大きく、犯人のペイロードはchild_processモジュールにおけるrequireなどの悪質なことができるようになり、クライアントサイドでシステムコマンドを実行する。Atomには少し前からまさにそれをするXSS脆弱性があった。アプリケーションのwebPreferencesにnodeInte
スポンサーリンク
開発フレームワークElectronのエクスプロイトでWebとモバイルの人気アプリが危険
IT起業ニュース
コメント