Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Falla nel framework Electron consente iniezione di codice in app desktop

Electron  remote code execution   lunedì, 14 maggio 2018

Electron è una piattaforma di sviluppo che consente la creazione di applicazioni desktop multi-piattaforma con tecnologie Web (HTML, CSS e JavaScript). Questo framework è stato utilizzato per sviluppare centinaia di applicazioni, tra le quali Skype, GitHub Desktop, WaveBox, WhatsApp, Signal, Discord e WordPress.com.

Un ricercatore di sicurezza di Trustwave ha recentemente scoperto una vulnerabilità in Electron (CVE-2018-1000136) che può consentire l’esecuzione di codice da remoto in determinate circostanze. Tale vulnerabilità può risultare sfruttabile all’interno di un’applicazione sviluppata con Electron solamente nel caso in cui l’applicazione sia affetta da vulnerabilità di tipo cross-site scripting (XSS) e sia configurata in un modo specifico.

In particolare, la vulnerabilità fa sì che l’opzione per l’integrazione con la libreria JavaScript Node.js (nodeIntegration) venga riabilitata forzatamente in alcune applicazioni, consentendo potenzialmente l’esecuzione di comandi arbitrari sul sistema tramite Webview.

La falla è stata risolta dagli sviluppatori di Electron lo scorso 21 marzo con il rilascio delle versioni 1.7.13, 1.8.4 e 2.0.0-beta.4.

Il post originale di Trustwave contiene un’analisi dettagliata della vulnerabilità, assieme a codice proof-of-concept (PoC) che ne dimostra la sfruttabilità.

Anche se questa problematica sembra coinvolgere un numero limitato di programmi, si raccomanda agli utenti di applicazioni desktop sviluppate con Electron di verificare presso i rispettivi produttori la presenza di aggiornamenti specifici.

Notizie correlate

“Peekaboo”: vulnerabilità critica in NUUO Network Video Recorder

19 settembre 2018

I ricercatori della società di sicurezza Tenable hanno scoperto due vulnerabilità, di cui una critica, nel software che equipaggia i prodotti della famiglia NUUO NVRmini 2.Leggi tutto

Aggiornamenti di sicurezza per Moodle (settembre 2018)

17 settembre 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono tre vulnerabilità, di cui una di gravità elevata, nella piattaforma di e-learning open source Moodle.Leggi tutto

Vulnerabilità multiple in PHP

14 settembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto