近日,Canthink網絡安全攻防實驗室發現了Electron
software framework(軟件架構)中存在的一個安全漏洞,它在過去的五年中被用於構建大量流行的桌面應用程序。
該框架在當今的軟件開發社區中非常流行,它允許開發人員輕鬆移植在HTML、JS和CSS中編碼的基於Web的應用程序以在桌面上運行。Electron軟件框架是一個封裝在Node.js服務器端JavaScript服務器周圍的自定義API。
在構建基於Electron的應用程序時,開發人員可以選擇使用大部分Electron API的有限環境,但也可以使用Node.js API及其模塊。由於Node.js項目是一個更成熟的項目,因此Node的API和內置模塊提供了與底層操作系統的更深層次的集成,並允許開發人員和應用程序訪問更多的操作系統功能。
Electron團隊意識到這個問題,並創建了一種機制,可以防止攻擊基於Electron的應用程序攻擊這些API以損害底層操作系統。
對於只想在桌面上運行HTML和JS代碼的應用程序,默認情況下會打開“nodeIntegration:false”選項,即禁止訪問Node.js API和模塊。在Electron應用程序中嵌入這些純粹的基於Web的應用程序,是通過名為WebView的組件完成的。
而這便是問題所在,Canthink研究員發現了一種機制,惡意行為者可以使用這種機制將nodeIntegration選項設置為“true”,並授予他們訪問功能更強大的Node.js API和模塊的權限。
但應注意,基於電子的應用程序是打包的HTML和JS代碼,這意味著找到一個利用這個漏洞的XSS應用程序並不像聽起來那麼困難,因為大多數Web應用程序都有這種錯誤。
對此,Canthink研究員發佈了概念驗證代碼,可使攻擊者利用任何XSS漏洞並將其訪問擴展到底層操作系統,“只要應用程序使用易受攻擊的Electron版本(版本<1.7.13,<1.8.4或<2.0.0-beta.3),就可以允許遠程執行代碼。”
還不清楚有多少Electron應用程序容易受到此漏洞的影響,以及哪些補丁已經集成,目前此漏洞已收到CVE-2018-1000136的CVE標識符。
閱讀更多 網絡安全焦點 的文章
