Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Falla nel framework Electron consente iniezione di codice in app desktop

Electron  remote code execution   lunedì, 14 maggio 2018

Electron è una piattaforma di sviluppo che consente la creazione di applicazioni desktop multi-piattaforma con tecnologie Web (HTML, CSS e JavaScript). Questo framework è stato utilizzato per sviluppare centinaia di applicazioni, tra le quali Skype, GitHub Desktop, WaveBox, WhatsApp, Signal, Discord e WordPress.com.

Un ricercatore di sicurezza di Trustwave ha recentemente scoperto una vulnerabilità in Electron (CVE-2018-1000136) che può consentire l’esecuzione di codice da remoto in determinate circostanze. Tale vulnerabilità può risultare sfruttabile all’interno di un’applicazione sviluppata con Electron solamente nel caso in cui l’applicazione sia affetta da vulnerabilità di tipo cross-site scripting (XSS) e sia configurata in un modo specifico.

In particolare, la vulnerabilità fa sì che l’opzione per l’integrazione con la libreria JavaScript Node.js (nodeIntegration) venga riabilitata forzatamente in alcune applicazioni, consentendo potenzialmente l’esecuzione di comandi arbitrari sul sistema tramite Webview.

La falla è stata risolta dagli sviluppatori di Electron lo scorso 21 marzo con il rilascio delle versioni 1.7.13, 1.8.4 e 2.0.0-beta.4.

Il post originale di Trustwave contiene un’analisi dettagliata della vulnerabilità, assieme a codice proof-of-concept (PoC) che ne dimostra la sfruttabilità.

Anche se questa problematica sembra coinvolgere un numero limitato di programmi, si raccomanda agli utenti di applicazioni desktop sviluppate con Electron di verificare presso i rispettivi produttori la presenza di aggiornamenti specifici.

Notizie correlate

Aggiornamento di sicurezza Android (novembre 2018)

7 novembre 2018

Google ha rilasciato l'aggiornamento di sicurezza di novembre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Aggiornamento di sicurezza critico per Apache Struts 2

6 novembre 2018

La Apache Software Foundation ha pubblicato un avviso di sicurezza riguardante una vulnerabilità critica di tipo esecuzione di codice da remoto in Apache Struts 2.Leggi tutto

Falla in Systemd sfruttabile per compromettere sistemi Linux

30 ottobre 2018

È stata scoperta una grave vulnerabilità nel client DHCPv6 in Systemd che potrebbe consentire esecuzione di codice arbitrario o condizioni di denial of service sui sistemi affetti.Leggi tutto