Abo
  • Services:
Anzeige
Electron sollte auf die aktuelle Version gepatcht werden.
Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de)

Windows: Electron-Apps für Codeausführung anfällig

Electron sollte auf die aktuelle Version gepatcht werden.
Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de)

Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

Eine Sicherheitslücke im Electron-Framework ermöglicht unter Windows die Ausführung beliebigen Codes aus der Ferne, wie die Entwickler selbst schreiben. Wer Electron-Apps entwickelt, sollte schnell auf die neueste Version aktualisieren oder den von den Entwicklern beschriebenen Workaround nutzen. Betroffen sind nur Anwendungen unter Windows; Linux und MacOS-Nutzer haben nach derzeitigem Kenntnisstand keine Probleme.

Anzeige

Die aktuelle Version von Electron sind 1.8.2-beta.4, 1.7.11 und 1.6.16. Alle Entwickler sollten ihre Apps aktualisieren. Betroffen sind Windows-Apps, die als Standard-Handler für ein Protokoll eingetragen sind. Wer das Update gerade nicht durchführen kann, sollte dem Funktionsnamen "app.setAsDefautProtocolClient" ein "-" voranstellen, um die Ausführung beliebiger anderer Parameter zu unterbinden. Chromium parsed dann keine weiteren Befehle mehr.

Zahlreiche bekannte Apps basieren auf Electron

Electron ist ein Framework, mit dem Anwendungen auf Basis von Chromium als eigenständige App laufen können. Prominente Beispiele sind der Desktop-Client für Signal, Microsoft Visual Studio Code, die Chatprogramm Skype, Slack und Riot sowie der Passwortmanager Keeper. Signal hatte zuvor Chrome als Basis genutzt und ist im vergangenen November offiziell zu Electron gewechselt. Das Softwarepaket wird von Github entwickelt und besteht seit 2013.

Informationen über Angriffe oder einen Exploit sind bislang nicht bekannt. Die Sicherheitslücke ist mit der Bezeichnung CVE-2018-1000006 bei Mitre eingetragen. Electron ist ein Open-Source-Projekt und steht unter der MIT-Lizenz.


eye home zur Startseite
picaschaf 26. Jan 2018

Nein, sind sie nicht. Gegen solch unnötige und Schwachsinnige allerdings schon.

Themenstart

piranha771 24. Jan 2018

Soweit ich mich noch richtig erinnere war die native App mit Delphi geschrieben worden...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. D. Kremer Consulting, Paderborn
  2. oput GmbH, Ulm
  3. Senatskanzlei Hamburg, Hamburg
  4. AKDB, Regensburg


Anzeige
Hardware-Angebote
  1. und bis zu 50€ Cashback erhalten bei Alternate.de
  2. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


  1. Wochenrückblick

    Früher war nicht alles besser

  2. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  3. Cloud

    AWS bringt den Appstore für Serverless-Software

  4. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  5. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  6. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  7. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  8. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  9. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  10. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

Indiegames-Rundschau: Tiefseemonster, Cyberpunks und ein Kelte
Indiegames-Rundschau
Tiefseemonster, Cyberpunks und ein Kelte
  1. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass
  2. Games 2017 Die besten Indiespiele des Jahres

HP Omen X VR im Test: VR auf dem Rücken kann nur teils entzücken
HP Omen X VR im Test
VR auf dem Rücken kann nur teils entzücken
  1. 3D Rudder Blackhawk Mehr Frags mit Fußschlaufen
  2. Kreativ-Apps für VR-Headsets Austoben im VR-Atelier
  3. Apps und Games für VR-Headsets Der virtuelle Blade Runner und Sport mit Sparc

  1. Re: Wer braucht denn das?

    josef_mo | 09:30

  2. Re: Das sagt eine Schlange auch

    ML82 | 09:26

  3. Egal ob 1 oder 10gbit die Datenmenge bleibt gleich...

    Unix_Linux | 09:26

  4. Re: Die Xiaomi-App übermittelt den Standort

    cbug | 09:17

  5. CAT S60 Android Updates

    henrikd@web.de | 09:12


  1. 09:02

  2. 17:17

  3. 16:50

  4. 16:05

  5. 15:45

  6. 15:24

  7. 14:47

  8. 14:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel