Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Falla nel framework Electron consente iniezione di codice in app desktop

Electron  remote code execution   lunedì, 14 maggio 2018

Electron è una piattaforma di sviluppo che consente la creazione di applicazioni desktop multi-piattaforma con tecnologie Web (HTML, CSS e JavaScript). Questo framework è stato utilizzato per sviluppare centinaia di applicazioni, tra le quali Skype, GitHub Desktop, WaveBox, WhatsApp, Signal, Discord e WordPress.com.

Un ricercatore di sicurezza di Trustwave ha recentemente scoperto una vulnerabilità in Electron (CVE-2018-1000136) che può consentire l’esecuzione di codice da remoto in determinate circostanze. Tale vulnerabilità può risultare sfruttabile all’interno di un’applicazione sviluppata con Electron solamente nel caso in cui l’applicazione sia affetta da vulnerabilità di tipo cross-site scripting (XSS) e sia configurata in un modo specifico.

In particolare, la vulnerabilità fa sì che l’opzione per l’integrazione con la libreria JavaScript Node.js (nodeIntegration) venga riabilitata forzatamente in alcune applicazioni, consentendo potenzialmente l’esecuzione di comandi arbitrari sul sistema tramite Webview.

La falla è stata risolta dagli sviluppatori di Electron lo scorso 21 marzo con il rilascio delle versioni 1.7.13, 1.8.4 e 2.0.0-beta.4.

Il post originale di Trustwave contiene un’analisi dettagliata della vulnerabilità, assieme a codice proof-of-concept (PoC) che ne dimostra la sfruttabilità.

Anche se questa problematica sembra coinvolgere un numero limitato di programmi, si raccomanda agli utenti di applicazioni desktop sviluppate con Electron di verificare presso i rispettivi produttori la presenza di aggiornamenti specifici.

Notizie correlate

Microsoft rilascia aggiornamento per vulnerabilità multiple in Office 2016 per Mac

17 maggio 2018

Microsoft ha rilasciato un aggiornamento di sicurezza che risolve tre gravi vulnerabilità in Microsoft Office 2016 per Mac che possono consentire l'esecuzione di codice arbitrario da remoto.Leggi tutto

Vulnerabilità critica nel client DHCP in Red Hat Enterprise Linux

16 maggio 2018

È stata scoperta una vulnerabilità critica nel client DHCP in Red Hat Enterprise Linux che può consentire l'esecuzione di comandi arbitrari con privilegi di root sui sistemi affetti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (maggio 2018)

9 maggio 2018

Nella giornata dell'8 maggio 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui due vulnerabilità 0-day in Windows.Leggi tutto