開発フレームワークElectronのエクスプロイトでWebとモバイルの人気アプリが危険

広く使われているクロスプラットホームな開発フレームワークElectronのセキュリティチェックをバイパスするエクスプロイトが登場した。Trustwaveがポストしたそのエクスプロイトはすでにパッチされたので、デベロッパーは自分のアプリケーションを早急にアップデートすべきである。

そのエクスプロイトは一部のアプリケーションでnodeIntegrationの設定によりクロスサイトスクリプティングを可能にする。このメソッドでアプリケーションは自分のモジュールに接続できるだけでなく、Node.jsのモジュールにも接続できるようになる。

発表から引用しよう:

Electronのアプリケーションは基本的にWebアプリケーションであり、したがってユーザーの入力を正しく無害化できなかった場合にはクロスサイトスクリプティング(XSS)攻撃に対し無防備になる。Electronのデフォルトのアプリケーションは自分のAPIだけでなくNode.jsのすべての内蔵モジュールへのアクセスを含んでいる。そのためXSSの危険性は大きく、犯人のペイロードはchild_pr……(中略)…… rget="_blank" href="http://goo.gl/ovDV">hiwa)

TechCrunch Japanの最新記事を購読しよう 記事の全文を読む⇒(TechCrunch Japan) 

ジャズクラおすすめ

関連ニュース