Electron 曝 XSS 漏洞,Atom、VS Code 等受影响 - 开源中国社区
Electron 曝 XSS 漏洞,Atom、VS Code 等受影响
雨田桑 2018年05月16日

Electron 曝 XSS 漏洞,Atom、VS Code 等受影响

雨田桑 雨田桑 发布于2018年05月16日 收藏 4

【腾讯云】如何快速搭建微信小程序?>>>  

近日,Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136,包括 Atom 与 VS Code 在内的众多主流应用受到影响。

Electron 本质上是一个 Web 应用程序,这意味着它也需要正确过滤用户的输入,否则很容易受到跨站脚本攻击。据分析,通过将 nodeIntegration 设置成 true,Electron 不仅可以访问自己的 API,还可以访问到其它内置 Node.js 模块,在 WebView 标签和 window.open() 函数的默认作用下,使得攻击者可以执行一些危害操作,例如在 child_process 模块中发起请求,从而在客户端执行系统命令。

Electron 是一个流行的开发框架,它允许开发者使用 HTML、CSS 和 JavaScript 创建跨平台的桌面应用程序。一些流行的应用程序,如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架构建的,这使得此次漏洞影响较为广泛,但是目前该漏洞补丁已经发布,只要过去几周内进行过升级,那么大多数应用都不会受到影响。点击了解详情

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Electron 曝 XSS 漏洞,Atom、VS Code 等受影响
分享
评论(7)
精彩评论
3

引用来自“淡漠悠然”的评论

atom等是用它写的
不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的
最新评论
0
本地编辑器的跨站脚本攻击,这是跨到哪去
0

引用来自“淡漠悠然”的评论

atom等是用它写的

引用来自“獜彝”的评论

不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的

引用来自“山雨欲来”的评论

腾讯微信团队又要加班了?
nw.js 不是Electron
0

引用来自“淡漠悠然”的评论

atom等是用它写的

引用来自“獜彝”的评论

不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的
腾讯微信团队又要加班了?
0

引用来自“首席的哥队长”的评论

我不明白了,像VS Code这种编辑器有漏洞人家如何发起攻击?首先要求你下载一个有攻击代码的文件编辑打开?
写恶意插件
3

引用来自“淡漠悠然”的评论

atom等是用它写的
不止,有很多软件都是用这个写的。
微信开发者工具是nw.js写的
0
atom等是用它写的
0
我不明白了,像VS Code这种编辑器有漏洞人家如何发起攻击?首先要求你下载一个有攻击代码的文件编辑打开?
顶部