• IT-Karriere:
  • Services:

Windows: Electron-Apps für Codeausführung anfällig

Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

Artikel veröffentlicht am ,
Electron sollte auf die aktuelle Version gepatcht werden.
Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de)

Eine Sicherheitslücke im Electron-Framework ermöglicht unter Windows die Ausführung beliebigen Codes aus der Ferne, wie die Entwickler selbst schreiben. Wer Electron-Apps entwickelt, sollte schnell auf die neueste Version aktualisieren oder den von den Entwicklern beschriebenen Workaround nutzen. Betroffen sind nur Anwendungen unter Windows; Linux und MacOS-Nutzer haben nach derzeitigem Kenntnisstand keine Probleme.

Stellenmarkt
  1. Bezirkskliniken Schwaben, Augsburg
  2. Gottfried Wilhelm Leibniz Universität Hannover, Hannover

Die aktuelle Version von Electron sind 1.8.2-beta.4, 1.7.11 und 1.6.16. Alle Entwickler sollten ihre Apps aktualisieren. Betroffen sind Windows-Apps, die als Standard-Handler für ein Protokoll eingetragen sind. Wer das Update gerade nicht durchführen kann, sollte dem Funktionsnamen "app.setAsDefautProtocolClient" ein "-" voranstellen, um die Ausführung beliebiger anderer Parameter zu unterbinden. Chromium parsed dann keine weiteren Befehle mehr.

Zahlreiche bekannte Apps basieren auf Electron

Electron ist ein Framework, mit dem Anwendungen auf Basis von Chromium als eigenständige App laufen können. Prominente Beispiele sind der Desktop-Client für Signal, Microsoft Visual Studio Code, die Chatprogramm Skype, Slack und Riot sowie der Passwortmanager Keeper. Signal hatte zuvor Chrome als Basis genutzt und ist im vergangenen November offiziell zu Electron gewechselt. Das Softwarepaket wird von Github entwickelt und besteht seit 2013.

Informationen über Angriffe oder einen Exploit sind bislang nicht bekannt. Die Sicherheitslücke ist mit der Bezeichnung CVE-2018-1000006 bei Mitre eingetragen. Electron ist ein Open-Source-Projekt und steht unter der MIT-Lizenz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Polestar 2 im Test
    Lädst du noch oder fährst du schon?
  2. Zoom Fatigue
    Warum Videokonferenzen uns so anstrengen
  3. Windows XP
    Journalist findet den Windows-XP-Hügel und dessen Fotografen
  4. Telekom-Chef
    Kabelnetz erreicht "nirgendwo ein Gigabit"
  5. Grafikkarten von Nvidia
    Selbst Scalper kommen kaum an Geforce RTX 3060 heran
Anzeige
Hardware-Angebote
  2. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Tja
picaschaf 26. Jan 2018

Nein, sind sie nicht. Gegen solch unnötige und Schwachsinnige allerdings schon.

Re: naja...
piranha771 24. Jan 2018

Soweit ich mich noch richtig erinnere war die native App mit Delphi geschrieben worden...

Folgen Sie uns
       
Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
Arbeit
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT
Onlinedurchsuchung
Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Verschlüsselung
Auch das BKA nutzt Staatstrojaner nur ganz selten

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

  1. Staatstrojaner-Statistik Aus 368 werden 3
  2. Untersuchungsbericht Mehrere Fehler führten zu falscher Staatstrojaner-Statistik
  3. Staatstrojaner Ermittler hacken jährlich Hunderte Endgeräte
Disney+
Star auf Disney+: Erstmal sollten Fehler korrigiert werden
Star auf Disney+
Erstmal sollten Fehler korrigiert werden

Statt zunächst Fehler zu beheben, bringt Disney+ lieber neue Inhalte - und damit auch neue Fehler.
Ein IMHO von Ingo Pakalski

  1. Disney+ Zwei Star-Wars- und fünf Marvel-Serien kommen 2021
  2. Neue Profile von Disney+ im Hands-on Gelungener PIN-Schutz und alte Fehler
  3. Netflix-Konkurrenz Disney+ noch zum günstigeren Abopreis zu bekommen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /