Windows: Electron-Apps für Codeausführung anfällig

Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

Artikel veröffentlicht am ,
Electron sollte auf die aktuelle Version gepatcht werden.
Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de)

Eine Sicherheitslücke im Electron-Framework ermöglicht unter Windows die Ausführung beliebigen Codes aus der Ferne, wie die Entwickler selbst schreiben. Wer Electron-Apps entwickelt, sollte schnell auf die neueste Version aktualisieren oder den von den Entwicklern beschriebenen Workaround nutzen. Betroffen sind nur Anwendungen unter Windows; Linux und MacOS-Nutzer haben nach derzeitigem Kenntnisstand keine Probleme.

Stellenmarkt
  1. Anwendungsmanagerin / Anwendungsmanager (w/m/d) in der zentralen Abrechnung mit SAP HCM
    Informationstechnikzentrum Bund (ITZBund), Bonn
  2. HR Operations Specialist (m/w/d)
    Techtronic Industries Central Europe GmbH, Hilden
Detailsuche

Die aktuelle Version von Electron sind 1.8.2-beta.4, 1.7.11 und 1.6.16. Alle Entwickler sollten ihre Apps aktualisieren. Betroffen sind Windows-Apps, die als Standard-Handler für ein Protokoll eingetragen sind. Wer das Update gerade nicht durchführen kann, sollte dem Funktionsnamen "app.setAsDefautProtocolClient" ein "-" voranstellen, um die Ausführung beliebiger anderer Parameter zu unterbinden. Chromium parsed dann keine weiteren Befehle mehr.

Zahlreiche bekannte Apps basieren auf Electron

Electron ist ein Framework, mit dem Anwendungen auf Basis von Chromium als eigenständige App laufen können. Prominente Beispiele sind der Desktop-Client für Signal, Microsoft Visual Studio Code, die Chatprogramm Skype, Slack und Riot sowie der Passwortmanager Keeper. Signal hatte zuvor Chrome als Basis genutzt und ist im vergangenen November offiziell zu Electron gewechselt. Das Softwarepaket wird von Github entwickelt und besteht seit 2013.

Informationen über Angriffe oder einen Exploit sind bislang nicht bekannt. Die Sicherheitslücke ist mit der Bezeichnung CVE-2018-1000006 bei Mitre eingetragen. Electron ist ein Open-Source-Projekt und steht unter der MIT-Lizenz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nutzerfreundlichkeit und Datenschutz
Fünf All-in-One-Messenger im Vergleichstest

Ständiges Wechseln zwischen Messenger-Apps ist lästig. All-in-One-Messenger versprechen, dieses Problem zu lösen. Wir haben fünf von ihnen getestet und große Unterschiede bei Bedienbarkeit und Datenschutz festgestellt.
Ein Test von Leo Dessani

Nutzerfreundlichkeit und Datenschutz: Fünf All-in-One-Messenger im Vergleichstest
Artikel
  1. Überwachung: Wi-Fi-Router können 3D-Bilder von Menschen erzeugen
    Überwachung
    Wi-Fi-Router können 3D-Bilder von Menschen erzeugen

    Ein Forschungsteam konnte mit Hilfe von Wi-Fi-Signalen eines Routers Menschen in einem Raum erkennen. Als Spionage sehen sie das nicht.

  2. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  3. Liberty-Germany-Pleite: Glasfaserausbau trotz Zusage nicht mehr sicher
    Liberty-Germany-Pleite
    Glasfaserausbau trotz Zusage nicht mehr sicher

    "Hello Fiber bringt Glasfaser in deine Gemeinde", lautete der Werbespruch von Liberty. Kann man kleineren FTTH-Anbietern nach der Pleite noch trauen?
    Von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /