Um pesquisador de segurança alertou recentemente para uma vulnerabilidade no framework Electron que pode permitir a execução remota de códigos maliciosos no computador do usuário.
Para quem não sabe, o Electron é um framework open-source voltado para o desenvolvimento de aplicativos multi-plataforma com HTML, CSS e JavaScript. Ele realiza isto combinando Chromium e Node.js em uma única runtime e os aplicativos podem ser empacotados para Mac, Windows e Linux.
Entre os aplicativos que fazem uso dele estão o Skype (v8.x), Slack, Visual Studio Code, o aplicativo do Twitch para desktop e muitos outros.
Vulnerabilidade no framework Electron
Todos os aplicativos baseados no framework Electron fazem uso de um arquivo de configuração webPreferences. Se o elemento webviewTag estiver definido como false neste arquivo, o elemento nodeIngration também será definido como false. E é aí que está o problema.
De acordo com o pesquisador de segurança Brendan Scarvell da Trustwave, atacantes podem alterar a opção do elemento nodeIntegration de false para true e assim obter acesso às APIs e módulos do Node.js.
Scarvell diz que se os desenvolvedores dos aplicativos baseados no framework não declararem especificamente o elemento webviewTag como false no arquivo de configuração webPreferences, o atacante pode usar qualquer vulnerabilidade do tipo cross-site scripting (XSS) dentro de um aplicativo baseado em Electron para criar uma nova janela do componente WebView onde eles poderão controlar as configurações e definir o elemento nodeIngration como true.
Scarvell disponibilizou uma prova-de-conceito que pode permitir que um atacante explore qualquer vulnerabilidade XSS. Ele afirma que esta falha pode permitir a execução remota de códigos desde que o aplicativo esteja utilizando uma versão vulnerável do Electron.
O pesquisador notificou os responsáveis pelo framework sobre a vulnerabilidade identificada como CVE-2018-1000136 e uma correção foi disponibilizada em março. O problema é que muitos aplicativos ainda estão usando as versões vulneráveis.
O post Pesquisador alerta para vulnerabilidade no framework Electron apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br