设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 IT综合资讯 查看内容

Electron曝XSS漏洞,Atom、VS Code等受影响

2018-5-16 21:40| 发布者: joejoe0332| 查看: 349| 评论: 0|原作者: oschina|来自: oschina

摘要: 近日,Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136,包括 Atom 与 VS Code 在内的众多主流应用受到影响。Electron 本质上是一个 Web 应用程序,这意味着它也需要正确过滤用户的输入 ...

近日,Trustwave 公布了 Electron 上一个可引发跨站脚本攻击的漏洞 CVE-2018-1000136,包括 Atom 与 VS Code 在内的众多主流应用受到影响。

Electron 本质上是一个 Web 应用程序,这意味着它也需要正确过滤用户的输入,否则很容易受到跨站脚本攻击。据分析,通过将 nodeIntegration 设置成 true,Electron 不仅可以访问自己的 API,还可以访问到其它内置 Node.js 模块,在 WebView 标签和 window.open() 函数的默认作用下,使得攻击者可以执行一些危害操作,例如在 child_process 模块中发起请求,从而在客户端执行系统命令。

Electron 是一个流行的开发框架,它允许开发者使用 HTML、CSS 和 JavaScript 创建跨平台的桌面应用程序。一些流行的应用程序,如 Slack、Discord、Signal、Atom、Visual Studio Code 和 Github Desktop 都是使用 Electron 框架构建的,这使得此次漏洞影响较为广泛,但是目前该漏洞补丁已经发布,只要过去几周内进行过升级,那么大多数应用都不会受到影响。点击了解详情


酷毙

雷人

鲜花

鸡蛋

漂亮

最新评论

(200字以内)
验证问答 换一个 验证码 换一个

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部