Electron 被曝远程代码实行漏洞Discord Notion Teams 受影响

与会者聚集到一起，讨论前几日在内华达州进行的黑猫网络安全会议（Black Hat cyber-security conference）的话题，安全研究人员在流行的应用软件如 Discord、Microsoft Teams、Slack，在其他许多应用的底层框架中发现了一系列的漏洞，这些应用被全世界数千万人使用。

安全研究人员介绍了他们的发现，详细说明了他们如何通过利用所有这些软件的底层框架，入侵使用 Discord、Microsoft Teams 和聊天应用 Element 的用户。Electron 是一个构建于 Chromium 和跨平台 JavaScript 运行时环境 Node.js 之上的前端框架。

发现漏洞的研究人员之一 Aaditya Purani 表示：“普通用户应该知道，Electron 应用与他们日常使用的浏览器不一样”，这意味着它们相对而言有可能更容易受到对手的攻击。

Purani 指出​，所有这些漏洞起作用的第一个要求是在 Electron 应用程序的 webview （渲染网站的部分）中执行 JavaScript。这可以通过 XSS、Open URL 重定向等漏洞或通过网站中的功能（如创建嵌入、markdown 等）来实现。在 Discord 和 Element 的案例中，安全研究人员正是通过这种方式利用了漏洞。

Purani 在接受采访时表示，自己不使用基于 Electron 开发的应用程序，而是选择在浏览器内使用 Discord 或 Slack 等应用程序，因为后者安全性更强。他建议对安全性有偏执要求的用户最好使用网站本身，因为这样就拥有了 Chromium 所提供的保护，而 Chromium 的安全性比 Electron 更高。另外，如果你想要访问一个特定的服务器，你可以使用electron来进行访问。但是，如果你想要访问某个网站，你只能使用electron。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!