Abo
  • Services:

Windows: Electron-Apps für Codeausführung anfällig

Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

Artikel veröffentlicht am ,
Electron sollte auf die aktuelle Version gepatcht werden.
Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de)

Eine Sicherheitslücke im Electron-Framework ermöglicht unter Windows die Ausführung beliebigen Codes aus der Ferne, wie die Entwickler selbst schreiben. Wer Electron-Apps entwickelt, sollte schnell auf die neueste Version aktualisieren oder den von den Entwicklern beschriebenen Workaround nutzen. Betroffen sind nur Anwendungen unter Windows; Linux und MacOS-Nutzer haben nach derzeitigem Kenntnisstand keine Probleme.

Stellenmarkt
  1. Bosch Gruppe, Kusterdingen
  2. Johanniter-Unfall-Hilfe e.V. Landesverband Hessen/Rheinland-Pfalz/Saar, Butzbach

Die aktuelle Version von Electron sind 1.8.2-beta.4, 1.7.11 und 1.6.16. Alle Entwickler sollten ihre Apps aktualisieren. Betroffen sind Windows-Apps, die als Standard-Handler für ein Protokoll eingetragen sind. Wer das Update gerade nicht durchführen kann, sollte dem Funktionsnamen "app.setAsDefautProtocolClient" ein "-" voranstellen, um die Ausführung beliebiger anderer Parameter zu unterbinden. Chromium parsed dann keine weiteren Befehle mehr.

Zahlreiche bekannte Apps basieren auf Electron

Electron ist ein Framework, mit dem Anwendungen auf Basis von Chromium als eigenständige App laufen können. Prominente Beispiele sind der Desktop-Client für Signal, Microsoft Visual Studio Code, die Chatprogramm Skype, Slack und Riot sowie der Passwortmanager Keeper. Signal hatte zuvor Chrome als Basis genutzt und ist im vergangenen November offiziell zu Electron gewechselt. Das Softwarepaket wird von Github entwickelt und besteht seit 2013.

Informationen über Angriffe oder einen Exploit sind bislang nicht bekannt. Die Sicherheitslücke ist mit der Bezeichnung CVE-2018-1000006 bei Mitre eingetragen. Electron ist ein Open-Source-Projekt und steht unter der MIT-Lizenz.



Anzeige
Hardware-Angebote
  1. 119,90€

picaschaf 26. Jan 2018

Nein, sind sie nicht. Gegen solch unnötige und Schwachsinnige allerdings schon.

piranha771 24. Jan 2018

Soweit ich mich noch richtig erinnere war die native App mit Delphi geschrieben worden...


Folgen Sie uns
       


Samsung Galaxy Watch Active - Hands on

Samsungs neue Smartwatch Galaxy Watch Active richtet sich an sportliche Nutzer. Auf eine drehbare Lünette wie bei den vorigen Modellen müssen Käufer aber verzichten.

Samsung Galaxy Watch Active - Hands on Video aufrufen
Dirt Rally 2.0 im Test: Extra, extra gut
Dirt Rally 2.0 im Test
Extra, extra gut

Codemasters übertrifft mit Dirt Rally 2.0 das bereits famose Dirt Rally - allerdings nicht in allen Punkten.
Von Michael Wieczorek

  1. Dirt Rally 2.0 angespielt Mit Konzentration und Geschick durch immer tieferen Schlamm
  2. Codemasters Simulationslastiges Rennspiel Dirt Rally 2.0 angekündigt

Indiegames-Rundschau: Von Weltraumlokomotiven und Affenkönigen
Indiegames-Rundschau
Von Weltraumlokomotiven und Affenkönigen

Sunless Skies und Battlefleet Gothic Armada 2 zeigen bizarre Science-Fiction, Spinnortality verknüpft Cyberpunk und Wirtschaftssimulation: Golem.de stellt spannende neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Verzauberte Raben und Grüße aus China
  2. Indiegames-Rundschau Überflieger mit Tiefe und Abenteuer im Low-Poly-Land
  3. Indiegames-Rundschau Unabhängig programmierter Horror und Hacker

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

    •  /