Electron 曝 XSS 漏洞,Atom、VS Code 等受影响

h4cd
 h4cd
发布于 2018年05月16日
收藏 4

近日,Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136,包括 Atom 与 VS Code 在内的众多主流应用受到影响。

Electron 本质上是一个 Web 应用程序,这意味着它也需要正确过滤用户的输入,否则很容易受到跨站脚本攻击。据分析,通过将 nodeIntegration 设置成 true,Electron 不仅可以访问自己的 API,还可以访问到其它内置 Node.js 模块,在 WebView 标签和 window.open() 函数的默认作用下,使得攻击者可以执行一些危害操作,例如在 child_process 模块中发起请求,从而在客户端执行系统命令。

Electron 是一个流行的开发框架,它允许开发者使用 HTML、CSS 和 JavaScript 创建跨平台的桌面应用程序。一些流行的应用程序,如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架构建的,这使得此次漏洞影响较为广泛,但是目前该漏洞补丁已经发布,只要过去几周内进行过升级,那么大多数应用都不会受到影响。点击了解详情

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Electron 曝 XSS 漏洞,Atom、VS Code 等受影响
加载中

精彩评论

獜彝
獜彝

引用来自“淡漠悠然”的评论

atom等是用它写的
不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的
观风听雨
观风听雨

引用来自“首席的哥队长”的评论

我不明白了,像VS Code这种编辑器有漏洞人家如何发起攻击?首先要求你下载一个有攻击代码的文件编辑打开?
写恶意插件

最新评论(7

c
crystalsis
本地编辑器的跨站脚本攻击,这是跨到哪去
f
fengbjhqs

引用来自“淡漠悠然”的评论

atom等是用它写的

引用来自“獜彝”的评论

不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的

引用来自“山雨欲来”的评论

腾讯微信团队又要加班了?
nw.js 不是Electron
山雨欲来
山雨欲来

引用来自“淡漠悠然”的评论

atom等是用它写的

引用来自“獜彝”的评论

不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的
腾讯微信团队又要加班了?
观风听雨
观风听雨

引用来自“首席的哥队长”的评论

我不明白了,像VS Code这种编辑器有漏洞人家如何发起攻击?首先要求你下载一个有攻击代码的文件编辑打开?
写恶意插件
獜彝
獜彝

引用来自“淡漠悠然”的评论

atom等是用它写的
不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的
淡漠悠然
淡漠悠然
atom等是用它写的
首席的哥队长
首席的哥队长
我不明白了,像VS Code这种编辑器有漏洞人家如何发起攻击?首先要求你下载一个有攻击代码的文件编辑打开?
返回顶部
顶部