Elettrone vulnerabilità critica colpisce gli sviluppatori di app

0
67

Zero

crednopsec.png
NopSec

Una vulnerabilità critica che colpisce di Elettroni applicazioni desktop è stato divulgato.

Elettrone è un node.js V8, Cromo, struttura creata per lo sviluppo cross-piattaforma di applicazioni desktop con JavaScript, HTML e CSS.

Compatibile con Mac, Linux e Windows, sistemi operativi, la recente scoperta di bug impatti Windows da solo.

La vulnerabilità critica colpisce di Elettroni applicazioni che utilizzano gestori di protocollo personalizzato. Assegnato l’identificatore CVE-2018-1000006, la vulnerabilità è presente in Elettrone applicazioni che registrano come gestore predefinito per un protocollo, come myapp://.

Nonostante il protocollo è registrato, sia con il codice nativo, il registro di Windows, o Elettroni di app.setAsDefaultProtocolClient API, le applicazioni possono essere ancora vulnerabili a un compromesso.

Se sfruttato la vulnerabilità consente agli aggressori di eseguire codice da remoto, aumentando le app di dirottamento e la perdita di dati.

L’Elettrone quadro è popolare e ampiamente utilizzato da una vasta gamma di app desktop services. Skype, Segnale, Slack, Shopify e Surf sono tra gli utenti, ma lo sviluppatore dell’uso di Elettroni di protocolli di definire se queste applicazioni sono vulnerabili al difetto.

L’avviso di sicurezza non ha rivelato come molti utenti di applicazioni di usare il protocollo predefinito gestore, e quindi non è possibile dire quante applicazioni o utenti sono stati colpiti.

Vedi anche: NjRat assicura il primo posto, come la maggior parte di rete attiva di malware nel 2017

Tuttavia, parlando di Cyberscoop, Microsoft ha confermato la versione più recente di Skype attenua la vulnerabilità, e così gli utenti con un up-to-date versione del software VoIP non sarà a rischio.

Elettrone ha aggiornato il quadro di riferimento per la patch di vulnerabilità e chiede agli sviluppatori di aggiornare immediatamente.

Se un aggiornamento non è possibile, gli sviluppatori possono aggiungere “–” come ultimo argomento quando si chiama app.setAsDefaultProtocolClient, che impedisce di Cromo da analisi ulteriori opzioni e il bug di essere attivato.

Precedente e relativa copertura

Gli hacker di rubare quasi 400 milioni di dollari da cryptocurrency ICOs Hacker in carcere per attacchi DDoS contro Skype e Google CFTC file querela contro gli Imprenditori Sede su Bitcoin schema Ponzi

Argomenti Correlati:

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati

0