Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Falla nel framework Electron consente iniezione di codice in app desktop

Electron  remote code execution   lunedì, 14 maggio 2018

Electron è una piattaforma di sviluppo che consente la creazione di applicazioni desktop multi-piattaforma con tecnologie Web (HTML, CSS e JavaScript). Questo framework è stato utilizzato per sviluppare centinaia di applicazioni, tra le quali Skype, GitHub Desktop, WaveBox, WhatsApp, Signal, Discord e WordPress.com.

Un ricercatore di sicurezza di Trustwave ha recentemente scoperto una vulnerabilità in Electron (CVE-2018-1000136) che può consentire l’esecuzione di codice da remoto in determinate circostanze. Tale vulnerabilità può risultare sfruttabile all’interno di un’applicazione sviluppata con Electron solamente nel caso in cui l’applicazione sia affetta da vulnerabilità di tipo cross-site scripting (XSS) e sia configurata in un modo specifico.

In particolare, la vulnerabilità fa sì che l’opzione per l’integrazione con la libreria JavaScript Node.js (nodeIntegration) venga riabilitata forzatamente in alcune applicazioni, consentendo potenzialmente l’esecuzione di comandi arbitrari sul sistema tramite Webview.

La falla è stata risolta dagli sviluppatori di Electron lo scorso 21 marzo con il rilascio delle versioni 1.7.13, 1.8.4 e 2.0.0-beta.4.

Il post originale di Trustwave contiene un’analisi dettagliata della vulnerabilità, assieme a codice proof-of-concept (PoC) che ne dimostra la sfruttabilità.

Anche se questa problematica sembra coinvolgere un numero limitato di programmi, si raccomanda agli utenti di applicazioni desktop sviluppate con Electron di verificare presso i rispettivi produttori la presenza di aggiornamenti specifici.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Juniper Networks (luglio 2018)

16 luglio 2018

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune critiche in Junos OS.Leggi tutto

Vulnerabilità critiche in orologi industriali Siemens SICLOCK

5 luglio 2018

Sono state scoperte diverse vulnerabilità, di cui tre critiche, in orologi industriali della famiglia SICLOCK TC prodotti da Siemens.Leggi tutto

Aggiornamento di sicurezza Android (luglio 2018)

3 luglio 2018

Google ha rilasciato l'aggiornamento di sicurezza di luglio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto