Electron 被曝远程代码执行漏洞,Discord、Notion、Teams 受影响


安全研究人员发现,Discord、Microsoft Teams 和其他应用软件所使用的底层框架存在 RCE(远程代码执行)漏洞。

上周四在拉斯维加斯举行的黑帽网络安全大会 (Black Hat cybersecurity conference) 上,安全研究人员在流行的应用软件如 Discord、Microsoft Teams、Slack,和其他许多应用的底层框架中发现了一系列的漏洞,这些应用被全世界数千万人使用。

安全研究人员介绍了他们的发现,详细说明了他们如何通过利用所有这些软件的底层框架,入侵使用 Discord、Microsoft Teams 和聊天应用 Element 的用户。Electron 是一个构建于 Chromium 和跨平台 JavaScript 运行时环境 Node.js 之上的前端框架。

对于发现的所有案例,安全研究人员已向 Electron 提交了漏洞以便官方进行修复,他们也因此获得了超过 1 万美元的奖励。据介绍,在研究人员发表他们的研究之前,这些漏洞已被修复

发现漏洞的研究人员之一 Aaditya Purani 表示:“普通用户应该知道,Electron 应用与他们日常使用的浏览器不一样”,这意味着它们有可能更容易受到攻击。

在 Discord 的案例中,Purani 和他的同事发现的漏洞只要求他们发送一个发起视频的恶意链接。在 Microsoft Teams 中,他们发现的漏洞可以通过邀请受害者参加会议来加以利用。Purani 在演讲中解释说,在这两种情况下,如果受害目标点击了这些链接,攻击者就可以控制他们的计算机。 

Purani 指出,所有这些漏洞起作用的第一个要求是在 Electron 应用程序的 webview (渲染网站的部分)中执行 JavaScript。这可以通过 XSS、Open URL 重定向等漏洞或通过网站中的功能(如创建嵌入、markdown 等)来实现。在 Discord 和 Element 的案例中,安全研究人员正是通过这种方式利用了漏洞。

第二个要求是滥用 ElectronJS 框架来升级任意 JavaScript 执行,以在终端用户操作系统上进行远程代码执行攻击。这些漏洞取决于应用程序中可用的安全设置和 IPC 通道。Purani 在演讲中展示了从最宽松到最严格的设置所采取的的攻击手段。点此查看详情。

Purani 在接受采访时表示,自己不使用基于 Electron 开发的应用程序,而是选择在浏览器内使用 Discord 或 Slack 等应用程序,因为后者安全性更强。他建议对安全性有偏执要求的用户最好使用网站本身,因为这样就拥有了 Chromium 所提供的保护,而 Chromium 的安全性比 Electron 更高。


相关文章

2022-03-31

近日,最受欢迎的开源轻量级 Java 框架 Spring 被曝存在高危的 RCE(远程控制设备) 零日漏洞 ,、外媒 、 等站点对该漏洞进行了报道。 据网上疯传的介绍,该 RCE 漏洞源于 Spring 框架核心的 SerializationUtils#dserialize 方法,该方

2022-08-09

用户名、IP 等敏感信息) 25%的投毒组件为:获取 discord 用户敏感信息(窃取 discord 令牌) 2%的投毒组件为:非预期网络访问(安装过程中自动请求远程服务地址,无实际性危害) 2%的投毒组件为:下载执行木

2021-12-16

Log4j 中近日被曝出了一个远程代码执行漏洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数百年的时间才能完全解决这一隐患。而这数百年将会有多少程序

2022-08-24

专有的强化措施,与 Windows 或 MacOS 相比,通常 ChromeOS 中被曝出的漏洞要更少。此次微软所发现的是 ChromeOS 特定的内存损坏漏洞。 根据介绍,该漏洞被发现于 ChromiumOS Audio Server (CRAS) 中;CRAS 位于操作系统和 ALSA 之间,用于将音

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

2022-08-26

注意的是,在 15.3 发布的同时,11.3-15.1.4,15.2.x 和 15.3.0 被曝出了一个严重的远程代码执行漏洞 CVE-2022-2884,为了避免受影响,用户需要升级 GitLab CE/EE 到 15.1.5、15.2.3、15.3.1 或更高版本。 在 issue 中创建任务 (task) 任务提供了

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

2022-04-25

在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音频解码器中使用了相关代码。 根据市场研究机构在 2021 年 Q4 的调查,联发科和高通是目

2022-08-11

择,他们将在 Visual Studio 中打开一个新的终端窗口,并在远程系统上打开伪终端窗口。 支持控制字符、颜色和光标位置感知。 转到“定义”现在将记住以前的签名,并在更好的匹配项不可用 (时相应地导航,例如手动更改其中

2021-12-24

TP Server转发代理配置对于用户提供的输入验证不足,因此远程攻击者可发送恶意构造的HTTP请求,可导致空指针引用和服务端请求伪造风险,利用该漏洞访问服务端内部网络。 CVE-2021-44790: Apache HTTP Server缓冲区溢出漏洞 CVE: CVE

2022-09-23

tarfile.extract() 函数或 tarfile.extractall() 的内置默认值的代码中。 该漏洞已有 15 年的历史,自 2007 年 8 月首次报告以来,其相关的技术细节也一直存在可用。但目前却从未收到过任何补丁,唯一提供的缓解措施是警告开发人员

2021-12-21

Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响(此数字不包括所有 Java 软件包,例如直接分发的二进制文件) 就生态系统影响而言,8% 是相

2022-08-11

布的 Kali Linux 2022.2。 Kali Linux 2022.3 的更新亮点包括: Discord Kali Linux 建立了一个新的 discord 服务器 —— Kali Linux & Friends。这是为 Kali 社区提供的一个新地方,可以让用户、开发者聚在一起谈论 Kali Linux。Discord 是一个常见的

2022-09-23

以指 Erlang/OTP 的通称,开源电信平台 (OTP) 是 Erlang 的常用执行环境及一系列标准组件。 主要变化 Crypto Crypto 现在被认为可以与 OpenSSL 3.0 cryptolib 一起用于生产环境。ENGINE 和 FIPS 尚未完全发挥作用。 改变引擎加载/卸载