Mit Electron entwickelte Cross-Plattform-Apps angreifbar
Cross-Plattform Desktop-Apps, die mit dem Electron Framework erstellt werden, können eine gefährliche Sicherheitslücke aufweisen, durch die ein Cross-Site Scripting Angriff auf sie denkbar ist. Das Electron-Team stellt ein Update zur Verfügung.
- Frank-Michael Schlede
Brendan Scarvell, der als Sicherheitsforscher in den Trustwave SpiderLabs arbeitet, hat die Schwachstelle mit der Bezeichnung CVE-2018-1000136 entdeckt. Sie betrifft alle Anwendungen, die auf einer Version des Electron-Frameworks laufen, die kleiner als 1.7.13, 1.8.4 oder 2.0.0-beta.5 ist. Die Entwickler von Electron haben auf die Meldung von Scarvell zügig reagiert und stellen auf der Webseite einen Vulnerability Fix in Form von Erläuterungen und Beschreibungen zur Umgehung dieser Problems bereit. Das gilt besonders für die Programmierer, die nicht die Möglichkeit besitzen, ihre Apps auf eine der neuen Versionen des Frameworks zu bringen.
Gefahr ist groß, da sehr viele Apps auf Electron aufbauen
Die mit Electron erstellten Apps bauen auf HTML, CSS und JavaScript auf. Dabei steht den Entwicklern auch die Möglichkeit zur Verfügung, Node.js in ihre Apps zu integrieren. Die Apps können dann beispielsweise auch auf Low-Level-Funktionen der Systeme zugreifen. Benötigen sie einen solchen Zugriff nicht, deaktivieren Entwickler diesen in der Regel. Scarvell hat entdeckt, dass es unter gewissen Umständen für einen Angreifer möglich ist, diesen Zugriff wieder zu aktivieren und so seinen Schadcode auf dem Zielsystem zur Ausführung zu bringen. Er stellte fest, dass ein solcher Angreifer dazu dann eine Cross-Site-Scripting-Lücke für seine Zwecke ausnutzen könnte. Da es sich bei den Electron-Apps grundsätzlich um Webanwendungen handelt, die auf dem Desktop laufen, sind sie prädestiniert für solche Angriffe.
Die Gefahr, die diese Schwachstelle verursacht, ist auch deshalb so groß, weil sehr viele populäre und auf den Desktop-Systemen weit verbreitete Apps, wie etwas Slack, Skype, Atom, Visual Studio Code oder auch der GitHub Desktop dieses Framework verwenden. Entwickler und Anwender sollten deshalb verstärkt darauf achten, dass sie beim Einsatz dieser (und weiterer) Apps ausschließlich die jeweils aktuellste Version auf ihren Desktop verwenden. Entwickler, die sich für die Details dieser Schwachstelle und die daraus resultierenden Angriffsszenarien interessieren, können die ausführlichen Erläuterungen des Entdeckers auf dem SpiderLabs Blog nachlesen. (fms)
