Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Falla nel framework Electron consente iniezione di codice in app desktop

Electron  remote code execution   lunedì, 14 maggio 2018

Electron è una piattaforma di sviluppo che consente la creazione di applicazioni desktop multi-piattaforma con tecnologie Web (HTML, CSS e JavaScript). Questo framework è stato utilizzato per sviluppare centinaia di applicazioni, tra le quali Skype, GitHub Desktop, WaveBox, WhatsApp, Signal, Discord e WordPress.com.

Un ricercatore di sicurezza di Trustwave ha recentemente scoperto una vulnerabilità in Electron (CVE-2018-1000136) che può consentire l’esecuzione di codice da remoto in determinate circostanze. Tale vulnerabilità può risultare sfruttabile all’interno di un’applicazione sviluppata con Electron solamente nel caso in cui l’applicazione sia affetta da vulnerabilità di tipo cross-site scripting (XSS) e sia configurata in un modo specifico.

In particolare, la vulnerabilità fa sì che l’opzione per l’integrazione con la libreria JavaScript Node.js (nodeIntegration) venga riabilitata forzatamente in alcune applicazioni, consentendo potenzialmente l’esecuzione di comandi arbitrari sul sistema tramite Webview.

La falla è stata risolta dagli sviluppatori di Electron lo scorso 21 marzo con il rilascio delle versioni 1.7.13, 1.8.4 e 2.0.0-beta.4.

Il post originale di Trustwave contiene un’analisi dettagliata della vulnerabilità, assieme a codice proof-of-concept (PoC) che ne dimostra la sfruttabilità.

Anche se questa problematica sembra coinvolgere un numero limitato di programmi, si raccomanda agli utenti di applicazioni desktop sviluppate con Electron di verificare presso i rispettivi produttori la presenza di aggiornamenti specifici.

Notizie correlate

Vulnerabilità multiple in PHP 7

13 febbraio 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2019)

6 febbraio 2019

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto

Esecuzione di codice da remoto in Windows mediante file vCard

5 febbraio 2019

È stata resa nota l’esistenza di una vulnerabilità zero-day nel gestore contatti in formato vCard di Windows che può consentire l'esecuzione di codice da remoto.Leggi tutto