Критическая уязвимость фреймворка Electron угрожает безопасности Windows-приложений - «Новости»
Слухи: многострадальный ремейк Star Wars: Knights of the Old Republic выйдет не раньше 2028 года - «Новости сети»
Слухи: многострадальный ремейк Star Wars: Knights of the Old Republic выйдет не раньше 2028 года - «Новости сети»
VK внезапно объявила о продаже магазина приложений RuStore - «Новости сети»
VK внезапно объявила о продаже магазина приложений RuStore - «Новости сети»
OnePlus начал спешно сворачивать деятельность в США и Европе, а Realme уйдёт из Китая - «Новости сети»
OnePlus начал спешно сворачивать деятельность в США и Европе, а Realme уйдёт из Китая - «Новости сети»
Спутниковая антенна Starlink V5 оказалась легче и компактнее модели предыдущего поколения - «Новости сети»
Спутниковая антенна Starlink V5 оказалась легче и компактнее модели предыдущего поколения - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
ASML готовится поднять цены на оборудование для выпуска чипов, чем сильно разозлила TSMC - «Новости сети»
Эмуляторы PS5 вышли на новый уровень: KytyPS5 научился запускать 3D-игры - «Новости сети»
Эмуляторы PS5 вышли на новый уровень: KytyPS5 научился запускать 3D-игры - «Новости сети»
Microsoft начала тесты «очищенного» поиска в Windows 11, результаты которого не должны раздражать - «Новости сети»
Microsoft начала тесты «очищенного» поиска в Windows 11, результаты которого не должны раздражать - «Новости сети»
Россияне массово жалуются на проблемы с доступом к Google, GitHub и сайту Apple - «Новости сети»
Россияне массово жалуются на проблемы с доступом к Google, GitHub и сайту Apple - «Новости сети»
Игровые клавиатуры HyperX — как периферия влияет на результат в играх
Игровые клавиатуры HyperX — как периферия влияет на результат в играх
В результате борьбы с контрабандой ИИ-чипов в Китай компания Nvidia вдвое сократила список доверенных азиатских клиентов - «Новости сети»
В результате борьбы с контрабандой ИИ-чипов в Китай компания Nvidia вдвое сократила список доверенных азиатских клиентов - «Новости сети»
Новости мира Интернет » Новости » Критическая уязвимость фреймворка Electron угрожает безопасности Windows-приложений - «Новости»

Фреймворк Electron был создан разработчиками GitHub в 2013 году и с тех пор успел полюбиться девелоперам, — в общей сложности фреймворк применяется более чем в 460 кроссплатформенных приложениях, включая Slack, Skype, Signal, GitHub Desktop, Twitch, WordPress  и так далее. В работе Electron использует Chromium и Node.js, поддерживает Windows, macOS и Linux, и позволяет разработчикам создавать приложения, используя такие базовые веб-технологии, как jаvascript (Node.js), HTML, CSS.


Обнаруженная в составе фреймворка уязвимость получила идентификатор CVE-2018-1000006 и представляет угрозу только для Windows-приложений, которые применяют кастомные обработчики протоколов. Чтобы уязвимость сработала, приложение должно быть зарегистрировано как обработчик по умолчанию для протокола вида myapp://. При этом неважно, как именно осуществляется регистрация: с использованием реестра Windows, нативного кода, или API Electron app.setAsDefaultProtocolClient. Хотя подробностей о проблеме опубликовано немного, известно, что эксплуатация бреши позволяет удаленно выполнить в уязвимой системе произвольный код.


Баг был устранен на этой неделе, выпущены исправленные версии 1.8.2-beta.4, 1.7.11, а также 1.6.16, уже доступные для скачивания на GitHub.


Компания Microsoft уже сообщила, что последняя версия Skype не подвержена данной критической уязвимости. Пользователям Slack рекомендуется обновить приложение до версии 3.0.3 или выше. Разработчики Signal также сообщили, что их мессенджера баг не касается. Однако точное количество уязвимых приложений и их названия пока не раскрываются, а пользователям советуют проверить актуальность своего ПО.


Источник новостиgoogle.com

Фреймворк Electron был создан разработчиками GitHub в 2013 году и с тех пор успел полюбиться девелоперам, — в общей сложности фреймворк применяется более чем в 460 кроссплатформенных приложениях, включая Slack, Skype, Signal, GitHub Desktop, Twitch, WordPress и так далее. В работе Electron использует Chromium и Node.js, поддерживает Windows, macOS и Linux, и позволяет разработчикам создавать приложения, используя такие базовые веб-технологии, как jаvascript (Node.js), HTML, CSS. Обнаруженная в составе фреймворка уязвимость получила идентификатор CVE-2018-1000006 и представляет угрозу только для Windows-приложений, которые применяют кастомные обработчики протоколов. Чтобы уязвимость сработала, приложение должно быть зарегистрировано как обработчик по умолчанию для протокола вида myapp://. При этом неважно, как именно осуществляется регистрация: с использованием реестра Windows, нативного кода, или API Electron app.setAsDefaultProtocolClient. Хотя подробностей о проблеме опубликовано немного, известно, что эксплуатация бреши позволяет удаленно выполнить в уязвимой системе произвольный код. Баг был устранен на этой неделе, выпущены исправленные версии 1.8.2-beta.4, 1.7.11, а также 1.6.16, уже доступные для скачивания на GitHub. Компания Microsoft уже сообщила, что последняя версия Skype не подвержена данной критической уязвимости. Пользователям Slack рекомендуется обновить приложение до версии 3.0.3 или выше. Разработчики Signal также сообщили, что их мессенджера баг не касается. Однако точное количество уязвимых приложений и их названия пока не раскрываются, а пользователям советуют проверить актуальность своего ПО. Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

запостил(а)
Carter
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))