Electron 曝 XSS 漏洞,Atom、VS Code 等受影響

類別: IT
Electron

近日,Trustwave 公佈了 Electron 上一個可引發跨站指令碼攻擊的漏洞 CVE-2018-1000136,包括 Atom 與 VS Code 在內的眾多主流應用受到影響。

Electron 本質上是一個 Web 應用程式,這意味著它也需要正確過濾使用者的輸入,否則很容易受到跨站指令碼攻擊。據分析,通過將 nodeIntegration 設定成 true,Electron 不僅可以訪問自己的 API,還可以訪問到其它內建 Node.js 模組,在 WebView 標籤和 window.open() 函式的預設作用下,使得攻擊者可以執行一些危害操作,例如在 child_process 模組中發起請求,從而在客戶端執行系統命令。

Electron 是一個流行的開發框架,它允許開發者使用 HTML、CSS 和 JavaScript 建立跨平臺的桌面應用程式。一些流行的應用程式,如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架構建的,這使得此次漏洞影響較為廣泛,但是目前該漏洞補丁已經發布,只要過去幾周內進行過升級,那麼大多數應用都不會受到影響。點選瞭解詳情

Electron 曝 XSS 漏洞,Atom、VS Code 等受影響原文請看這裡