Exploit pone en riesgo aplicaciones web y móviles populares

Exploit pone en riesgo aplicaciones web y móviles populares

by

in

Un nuevo exploit podría permitir a los usuarios eludir los controles de seguridad en Electron, un popular marco de desarrollo multiplataforma. la hazaña, publicado por Trustwave, ha sido parcheado y los desarrolladores deben actualizar sus aplicaciones lo antes posible.

El exploit podría permitir secuencias de comandos entre sitios en algunas aplicaciones activando nodeIntegration, un método que permite que la aplicación no solo se conecte a sus propios módulos sino también a los módulos de Node.js.

Desde el anuncio:

Las aplicaciones de Electron son esencialmente aplicaciones web, lo que significa que son susceptibles a ataques de secuencias de comandos entre sitios debido a que no se desinfectan correctamente las entradas proporcionadas por el usuario. Una aplicación Electron predeterminada incluye acceso no solo a sus propias API, sino que también incluye acceso a todos los módulos integrados de Node.js. Esto hace que XSS sea particularmente peligroso, ya que la carga útil de un atacante puede permitir hacer algunas cosas desagradables, como requerir en el módulo child_process y ejecutar comandos del sistema en el lado del cliente. Atom tenía una vulnerabilidad XSS no hace mucho tiempo que hizo exactamente eso. Puede eliminar el acceso a Node.js pasando nodeIntegration: false a las preferencias web de su aplicación.

Muchas aplicaciones populares usan Electron, incluidas Discord, Signal, Visual Studio Code y Github. Slack también usa Electron para sus aplicaciones.

El exploit depende de la configuración de nodeIntegration y del proceso de apertura de una nueva ventana. Si bien en la mayoría de los casos nodeIntegration se establece en falso, en algunos casos puede establecer nodeIntegration en verdadero y luego pasar otros scripts nefastos, incluida la llamada al módulo child_process que le permite realizar llamadas al sistema como spawn, que luego le permite ejecutar comandos en el sistema operativo.

Puedes ver sitio web de electrones aquí y aquí está su publicación de blog sobre la actualización. La mayoría de las aplicaciones no deberían verse afectadas siempre que haya actualizado la plataforma en las últimas semanas.


Source link