Electron 被曝远程代码执行漏洞,Discord、Notion、Teams 受影响


安全研究人员发现,Discord、Microsoft Teams 和其他应用软件所使用的底层框架存在 RCE(远程代码执行)漏洞。

上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上,安全研究人员在流行的应用软件如 Discord、Microsoft Teams、Slack,和其他许多应用的底层框架中发现了一系列的漏洞,这些应用被全世界数千万人使用。

安全研究人员介绍了他们的发现,详细说明了他们如何通过利用所有这些软件的底层框架,入侵使用 Discord、Microsoft Teams 和聊天应用 Element 的用户。Electron 是一个构建于 Chromium 和跨平台 JavaScript 运行时环境 Node.js 之上的前端框架。

对于发现的所有案例,安全研究人员已向 Electron 提交了漏洞以便官方进行修复,他们也因此获得了超过 1 万美元的奖励。据介绍,在研究人员发表他们的研究之前,这些漏洞已被修复

发现漏洞的研究人员之一 Aaditya Purani 表示:“普通用户应该知道,Electron 应用与他们日常使用的浏览器不一样”,这意味着它们有可能更容易受到攻击。

在 Discord 的案例中,Purani 和他的同事发现的漏洞只要求他们发送一个发起视频的恶意链接。在 Microsoft Teams 中,他们发现的漏洞可以通过邀请受害者参加会议来加以利用。Purani 在演讲中解释说,在这两种情况下,如果受害目标点击了这些链接,攻击者就可以控制他们的计算机。 

Purani 指出,所有这些漏洞起作用的第一个要求是在 Electron 应用程序的 webview (渲染网站的部分)中执行 JavaScript。这可以通过 XSS、Open URL 重定向等漏洞或通过网站中的功能(如创建嵌入、markdown 等)来实现。在 Discord 和 Element 的案例中,安全研究人员正是通过这种方式利用了漏洞。

第二个要求是滥用 ElectronJS 框架来升级任意 JavaScript 执行,以在终端用户操作系统上进行远程代码执行攻击。这些漏洞取决于应用程序中可用的安全设置和 IPC 通道。Purani 在演讲中展示了从最宽松到最严格的设置所采取的的攻击手段。点此查看详情。

Purani 在接受采访时表示,自己不使用基于 Electron 开发的应用程序,而是选择在浏览器内使用 Discord 或 Slack 等应用程序,因为后者安全性更强。他建议对安全性有偏执要求的用户最好使用网站本身,因为这样就拥有了 Chromium 所提供的保护,而 Chromium 的安全性比 Electron 更高。


相關推薦

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2022-08-09

用户名、IP 等敏感信息) 25%的投毒组件为:获取 discord 用户敏感信息(窃取 discord 令牌) 2%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害) 2%的投毒组件为:下载执行木

2021-12-16

Log4j 中近日被曝出了一个远程代码执行漏洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数百年的时间才能完全解决这一隐患。而这数百年将会有多少程序

2022-08-24

专有的强化措施,与 Windows 或 MacOS 相比,通常 ChromeOS 中被曝出的漏洞要更少。此次微软所发现的是 ChromeOS 特定的内存损坏漏洞。 根据介绍,该漏洞被发现于 ChromiumOS Audio Server (CRAS) 中;CRAS 位于操作系统和 ALSA 之间,用于将音

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

2022-08-26

注意的是,在 15.3 发布的同时,11.3-15.1.4,15.2.x 和 15.3.0 被曝出了一个严重的远程代码执行漏洞 CVE-2022-2884,为了避免受影响,用户需要升级 GitLab CE/EE 到 15.1.5、15.2.3、15.3.1 或更高版本。 在 issue 中创建任务 (task) 任务提供了

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

2022-04-25

在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研究机构在 2021 年 Q4 的调查,联发科和高通是目

2024-10-14

篇文章,探讨了由 Rust 驱动的 Tauri 和由 JavaScript 驱动的 Electron 这两个跨平台框架之间差异。 Electron “你很有可能是通过 Electron 的核心技术:a web browser 来阅读这篇文章的。” Electron 最初由 GitHub 开发,依赖于几个关键的 web-b

2022-11-03

栈上的 4 个字节,成功利用此漏洞可用于发起 Dos 攻击或远程代码执行。 CVE-2022-3786:X.509 电子邮件地址可变长度缓冲区溢出漏洞 由于 OpenSSL 3.0.0 - 3.0.6 版本中在 X.509 证书验证中存在缓冲区溢出漏洞,可以通过在证书中制作

2023-02-11

有一部分原因是这些办公室利用率低,此后 GitHub 将转向远程优先的办公模式。

2023-08-04

。滥用可能导致严重后果,如 XSS、CSRF、SSRF、权限升级或远程代码执行。 训练数据投毒。当 LLM 训练数据被篡改,引入漏洞或偏差,危及安全性、有效性或道德行为时,就会发生这种情况。来源包括 Common Crawl、WebText、OpenWebText

2024-08-29

Notion 宣布将退出俄罗斯市场,并终止与该国用户相关的所有工作区和账户。 公告称,此举是因为美国政府针对软件服务供应商出台了限制政策,禁止俄罗斯任何人访问某些软件产品和服务。因此从 2024 年 9 月 9 日起,Notion 将

2022-08-11

择,他们将在 Visual Studio 中打开一个新的终端窗口,并在远程系统上打开伪终端窗口。 支持控制字符、颜色和光标位置感知。 转到“定义”现在将记住以前的签名,并在更好的匹配项不可用 (时相应地导航,例如手动更改其中