Windows: Electron-Apps für Codeausführung anfällig

Wer Windows -Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

24. Januar 2018 um 16:20 Uhr / Hauke Gierow

7 Kommentare News folgen (öffnet im neuen Fenster)

Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de) — Electron sollte auf die aktuelle Version gepatcht werden. Bild: electronjs.org/Screenshot Golem.de

Eine Sicherheitslücke im Electron-Framework ermöglicht unter Windows die Ausführung beliebigen Codes aus der Ferne, wie die Entwickler selbst schreiben(öffnet im neuen Fenster) . Wer Electron-Apps entwickelt, sollte schnell auf die neueste Version aktualisieren oder den von den Entwicklern beschriebenen Workaround nutzen. Betroffen sind nur Anwendungen unter Windows; Linux und MacOS-Nutzer haben nach derzeitigem Kenntnisstand keine Probleme.

Die aktuelle Version von Electron sind 1.8.2-beta.4, 1.7.11 und 1.6.16. Alle Entwickler sollten ihre Apps aktualisieren. Betroffen sind Windows-Apps, die als Standard-Handler für ein Protokoll eingetragen sind. Wer das Update gerade nicht durchführen kann, sollte dem Funktionsnamen "app.setAsDefautProtocolClient" ein "-" voranstellen, um die Ausführung beliebiger anderer Parameter zu unterbinden. Chromium parsed dann keine weiteren Befehle mehr.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Mullvad, Firefox, Brave und Co.: Die besten Browser-Alternativen zu Chrome und Edge im Überblick

zum Ratgeber

Seminar: Source Code Management und CI / CD: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Exclusive: Penetration Testing with Metasploit (E-Learning in English)

zum Kurs

Zahlreiche bekannte Apps basieren auf Electron

Electron ist ein Framework, mit dem Anwendungen auf Basis von Chromium als eigenständige App laufen können. Prominente Beispiele sind der Desktop-Client für Signal, Microsoft Visual Studio Code , die Chatprogramm Skype , Slack und Riot sowie der Passwortmanager Keeper. Signal hatte zuvor Chrome als Basis genutzt und ist im vergangenen November offiziell zu Electron gewechselt. Das Softwarepaket wird von Github entwickelt und besteht seit 2013.

Visual Studio Code unter Mac und Linux (03:29)

Informationen über Angriffe oder einen Exploit sind bislang nicht bekannt. Die Sicherheitslücke ist mit der Bezeichnung CVE-2018-1000006 bei Mitre eingetragen. Electron ist ein Open-Source-Projekt und steht unter der MIT-Lizenz.

Zur Startseite 7 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Zahlreiche bekannte Apps basieren auf Electron

Relevante Themen