출처 : https://jp.techcrunch.com/2018/05/15/2018-05-14-exploit-puts-popular-web-and-mobile-apps-at-risk/
널리 사용되고있는 크로스 플랫폼 개발 프레임 워크 Electron 보안 검사를 우회하는 공격이 등장했다. Trustwave 게시 한 그 공격은 이미 패치 된 때문에 개발자는 자신의 응용 프로그램을 신속하게 업데이트해야한다.
그 공격은 일부 응용 프로그램 nodeIntegration 설정하여 크로스 사이트 스크립팅을 허용한다. 이 메서드는 응용 프로그램 자신의 모듈에 연결할 수뿐만 아니라 Node.js 모듈에 연결할 수있게된다.
발표 에서 인용하자 :
Electron 응용 프로그램은 기본적으로 Web 응용 프로그램이며, 따라서 사용자의 입력을 제대로 해독 할 수없는 경우에는 크로스 사이트 스크립팅 (XSS) 공격에 무방비하게된다. Electron의 기본 응용 프로그램은 자신의 API뿐만 아니라 Node.js의 모든 내장 모듈에 대한 액세스를 포함한다. 따라서 XSS의 위험이 크고, 범인의 페이로드는 child_process 모듈의 require와 같은 악성 수 있도록 클라이언트 측에서 시스템 명령을 실행한다. Atom은 조금 전부터 바로 그것을하는 XSS 취약점이 있었다. 응용 프로그램의 webPreferences에 nodeIntegration : false를 전달하여 Node.js에 대한 액세스를 제거 할 수있다.
Discord, Signal, Visual Studio Code 그것에 Github 등 많은 인기 애플리케이션이 Electron을 사용하고있다. Slack도 해당 응용 프로그램에 Electron을 사용하고있다.
그 공격은 nodeIntegration 설정과 새로운 창을 열 프로세스에 의존하고있다. 많은 경우 nodeIntegration는 false로 설정되어 있지만, 우연히 nodeIntegration을 true로 설정하면 child_process 모듈 을 호출하는 등의 악의적 인 스크립트를 통해 버려, 그 녀석은 spawn 같은 시스템 호출하면 운영 체제 명령을 실행 수있게된다.
Electron의 Web 사이트가 여기에 있으며, 업데이트에 대한 블로그 기사는 여기이다 . 이 플랫폼을 최근 몇 주 이내에 업그레이드하는 경우 많은 응용 프로그램이 무사히 것이다.