Az Electron hibája sok népszerű szoftvert veszélyeztet

Az Electron keretrendszer súlyos biztonsági hibája miatt számos népszerű szoftvert is frissíteni kell.
 

A 2013 óta egyre nagyobb népszerűségre szert tevő Electron alkalmazás-keretrendszer egyik legnagyobb vonzereje, hogy cross platform alkalmazások fejlesztését teszi lehetővé. A JavaScript (Node.js), HTML és CSS alapokra épülő rendszer Windows, Linux és macOS esetén is jól megállja a helyét. Egyebek mellett olyan megoldásokban is helyet kap, mint amilyen például a Skype, a Brave böngésző, a GitHub Atom Editor, a Signal, a Slack, a Basecamp, a WordPress és a Twitch.
 
Most azonban egy olyan sérülékenységére derült fény, amely jelentős kockázatokat hordoz, hiszen jogosulatlan távoli kódfuttatásra is lehetőséget adhat. Az Electron fejlesztő csapata már kiadta a hibajavításokat. Közölte, hogy a sérülékenység kizárólag a Windows-os szoftverek esetében jelent veszélyt, a Mac és a Linux alapú rendszerek nem érintettek. A biztonsági rés az app.setAsDefaultProtocolClient API kapcsán merült fel, és akkor okozhat gondot, ha egy alkalmazás alapértelmezett programként állítja be magát egy-egy protokoll (például: myapp://) kezeléséhez. Ekkor a támadók tetszőleges kódokkal élhetnek vissza.
 
Kettőn áll a vásár
 
Az Electron sebezhetősége által jelentett kockázatok megszűntetéséhez a fejlesztőknek és a felhasználóknak is lépéseket kell tenniük. A fejlesztőknek át kell térniük az Electron legújabb verziójára (1.8.2-beta.4, 1.7.11, 1.6.16). A felhasználóknak pedig frissíteniük kell az Electron segítségével készült alkalmazásaikat. Ez utóbbi frissítésekből a közeljövőben biztosan akad majd jó néhány, így a szoftverek naprakészen tartására egyebek mellett ezért is célszerű ügyelni.

További részletek a Biztonságportál Prémium weboldalain olvashatók.
Vélemények
 
  1. 3

    A VMware 3D-gyorsítás funkciója kapcsán egy biztonsági hibát kell megszüntetni.

  2. 3

    A Wireshark legújabb biztonsági frissítésével három sebezhetőséget lehet megszüntetni.

  3. 1

    A CoinMiner trójai kriptopénz bányászatba vonja be a linuxos számítógépeket.

 
Partnerhírek
Adat szivároghat a jelkóddal lezárt iPhone-okból

Az Apple új verziójú mobil operációs rendszerében akkor is hozzá lehet férni egyes adatokhoz, ha egyébként a telefont jelkóddal lezárták.

​Az ESET új nagyvállalati portfóliója

Az ESET idén is támogatóként jelent meg Magyarország egyik legnagyobb szabású IT biztonsági rendezvényén, az ITBN 2018. konferencián.

hirdetés
Közösség
1