Из-за уязвимости в Electron под угрозой оказались Skype, Slack, WhatsApp, Discord и другие - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
15-05-2018, 21:00
Из-за уязвимости в Electron под угрозой оказались Skype, Slack, WhatsApp, Discord и другие - «Новости»
Рейтинг:
Категория: Новости

Специалист компании Trustwave Брендан Скарвелл (Brendan Scarvell) обнаружил опасную уязвимость (CVE-2018-1000136) в составе опенсорсного фреймворка Electron. Баг допускает удаленное исполнение произвольного кода. Из-за этого десятки приложений, в состав которых входит Electron, оказались под угрозой. Среди них: Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord, Twitch, браузер Brave и WordPress.com, а также многие другие.


«Приложения Electron, в основном, представляют собой веб-приложения, а значит, они чувствительны к XSS (cross-site scripting) атакам из-за некорректной очистки полученных от пользователя данных. По умолчанию Electron-приложения представляют доступ не только к своим собственным API, но также позволяют получить доступ ко всем встроенным модулям Node.js. Из-за этого XSS-атака становится особенно опасной, ведь полезная нагрузка атакующего может исполнить совсем неприятные вещи, например, запросить модуль child_process и выполнить системные команды на клиентской стороне, — рассказывает Скарвелл в блоге компании. — Вы можете отозвать доступ для Node.js, установив nodeIntegration на значение false в webPreferences своего приложения».


При этом эксперт подчеркивает, что если приложение уязвимо перед XSS, и ряд настроек в webPreferences не установлены вручную, злоумышленник имеет возможность вновь активировать nodeIntegration и осуществить атаку. В блоге Trustwave был опубликован proof-of-concept эксплоит.


Скарвелл уведомил разработчиков Electron  о проблеме еще в начале текущего года, после чего в марте было выпущено исправление, устраняющее уязвимость (версии 1.7.13, 1.8.4 и 2.0.0-beta.4). Кроме того, сообщается, что уязвимость не представляет угрозы для мессенджера Signal и браузера Brave.


Источник новостиgoogle.com

Специалист компании Trustwave Брендан Скарвелл (Brendan Scarvell) обнаружил опасную уязвимость (CVE-2018-1000136) в составе опенсорсного фреймворка Electron. Баг допускает удаленное исполнение произвольного кода. Из-за этого десятки приложений, в состав которых входит Electron, оказались под угрозой. Среди них: Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord, Twitch, браузер Brave и WordPress.com, а также многие другие. «Приложения Electron, в основном, представляют собой веб-приложения, а значит, они чувствительны к XSS (cross-site scripting) атакам из-за некорректной очистки полученных от пользователя данных. По умолчанию Electron-приложения представляют доступ не только к своим собственным API, но также позволяют получить доступ ко всем встроенным модулям Node.js. Из-за этого XSS-атака становится особенно опасной, ведь полезная нагрузка атакующего может исполнить совсем неприятные вещи, например, запросить модуль child_process и выполнить системные команды на клиентской стороне, — рассказывает Скарвелл в блоге компании. — Вы можете отозвать доступ для Node.js, установив nodeIntegration на значение false в webPreferences своего приложения». При этом эксперт подчеркивает, что если приложение уязвимо перед XSS, и ряд настроек в webPreferences не установлены вручную, злоумышленник имеет возможность вновь активировать nodeIntegration и осуществить атаку. В блоге Trustwave был опубликован proof-of-concept эксплоит. Скарвелл уведомил разработчиков Electron о проблеме еще в начале текущего года, после чего в марте было выпущено исправление, устраняющее уязвимость (версии 1.7.13, 1.8.4 и 2.0.0-beta.4). Кроме того, сообщается, что уязвимость не представляет угрозы для мессенджера Signal и браузера Brave. Источник новости - google.com

Теги: CSS, доступ уязвимость WhatsApp, Из-за этого

Просмотров: 913
Комментариев: 0:   15-05-2018, 21:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: