Windows: Electron-Apps für Codeausführung anfällig

Wer Windows-Apps mit Electron anbietet, sollte das Update auf die aktuellste Version des Frameworks installieren. Sonst kann aus der Ferne Schadcode ausgeführt werden. Betroffen sind Windows-Apps, die als Protokoll-Handler eingetragen sind.

Artikel veröffentlicht am ,
Electron sollte auf die aktuelle Version gepatcht werden.
Electron sollte auf die aktuelle Version gepatcht werden. (Bild: electronjs.org/Screenshot Golem.de)

Eine Sicherheitslücke im Electron-Framework ermöglicht unter Windows die Ausführung beliebigen Codes aus der Ferne, wie die Entwickler selbst schreiben. Wer Electron-Apps entwickelt, sollte schnell auf die neueste Version aktualisieren oder den von den Entwicklern beschriebenen Workaround nutzen. Betroffen sind nur Anwendungen unter Windows; Linux und MacOS-Nutzer haben nach derzeitigem Kenntnisstand keine Probleme.

Stellenmarkt
  1. Full Stack Java Software-Entwickler (m/w/d)
    NOVENTI Health SE, Berlin, Bietigheim-Bissingen, Lübeck, München, Oberhausen (Home-Office möglich)
  2. Spezialist (m/w/d) Prozesse/SAP CS
    EOS GmbH Electro Optical Systems, Krailling
Detailsuche

Die aktuelle Version von Electron sind 1.8.2-beta.4, 1.7.11 und 1.6.16. Alle Entwickler sollten ihre Apps aktualisieren. Betroffen sind Windows-Apps, die als Standard-Handler für ein Protokoll eingetragen sind. Wer das Update gerade nicht durchführen kann, sollte dem Funktionsnamen "app.setAsDefautProtocolClient" ein "-" voranstellen, um die Ausführung beliebiger anderer Parameter zu unterbinden. Chromium parsed dann keine weiteren Befehle mehr.

Zahlreiche bekannte Apps basieren auf Electron

Electron ist ein Framework, mit dem Anwendungen auf Basis von Chromium als eigenständige App laufen können. Prominente Beispiele sind der Desktop-Client für Signal, Microsoft Visual Studio Code, die Chatprogramm Skype, Slack und Riot sowie der Passwortmanager Keeper. Signal hatte zuvor Chrome als Basis genutzt und ist im vergangenen November offiziell zu Electron gewechselt. Das Softwarepaket wird von Github entwickelt und besteht seit 2013.

Informationen über Angriffe oder einen Exploit sind bislang nicht bekannt. Die Sicherheitslücke ist mit der Bezeichnung CVE-2018-1000006 bei Mitre eingetragen. Electron ist ein Open-Source-Projekt und steht unter der MIT-Lizenz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


picaschaf 26. Jan 2018

Nein, sind sie nicht. Gegen solch unnötige und Schwachsinnige allerdings schon.

piranha771 24. Jan 2018

Soweit ich mich noch richtig erinnere war die native App mit Delphi geschrieben worden...



Aktuell auf der Startseite von Golem.de
25 Jahre Independence Day
Ein riesiges Raumschiff und ein riesiger Erfolg

"Willkommen auf der Erde!" Roland Emmerichs Independence Day ist ein Klassiker des Action-Kinos und enthält einen der besten Momente der Kinogeschichte.
Von Peter Osteried

25 Jahre Independence Day: Ein riesiges Raumschiff und ein riesiger Erfolg
Artikel
  1. Suchmaschine: Mozilla testet Bing als Suche im Firefox-Browser
    Suchmaschine
    Mozilla testet Bing als Suche im Firefox-Browser

    Ein kleiner Teil der Firefox-Desktop-Nutzer bekommt für einige Monate statt Google künftig Microsofts Bing als Standardsuche angezeigt.

  2. Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
    Venturi-Tunnel
    Elektro-Motorrad mit Riesenloch auf der Teststrecke

    White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

  3. Google: Android 12.1 enthält Funktionen für faltbare Smartphones
    Google
    Android 12.1 enthält Funktionen für faltbare Smartphones

    Google soll bereits kurz nach der Veröffentlichung von Android 12 eine Zwischenversion bringen - vielleicht ein Hinweis auf ein eigenes faltbares Smartphone.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Neuer MediaMarkt-Prospekt (u. a. Asus TUF Gaming F17 17" RTX 3050 1.099€) • Sasmung 970 Evo Plus 1TB PCIe-SSD 99€ • Alternate-Deals (u. a. Enermax ARGB-CPU-Kühler 36,99€) • GP History & War Sale (u. a. Age of Empires Definitive Edition 17,99€ + Wargame Airland Battle als Geschenk) [Werbung]
    •  /