В Skype, Slack и суперзащищенном мессенджере Signal нашлась одинаковая «дыра»
25 янв 2018 13:40 #65565
от ICT
«Дыра» во фреймворке Серьезная уязвимость в фреймворке Electron затрагивает ряд популярнейших коммуникационных приложений, в том числе Skype, в корпоративной среде Slack и защищенный мессенджер Signal, который называют
любимым мессенджером
Эдварда Сноудена (Edward Snowden). «Дыра» позволяет хакерам удаленно исполнять на взломанном ПК произвольный код. Electron представляет собой фреймворк node.js и Chromium. Он позволяет разработчикам использовать веб-технологии (JavaScript, HTML и CSS) для создания десктопных приложений. Уязвимость, получившая индекс CVE-2018-1000006, затрагивает только клиентские приложения в среде Windows: под другими операционными системами ее нет. В описании проблемы от разработчиков Electron указывается, что уязвимыми являются только те приложения, которые регистрируются в Windows в качестве обработчиков того или иного протокола по умолчанию (например, myapp://); такие приложения будут уязвимы вне зависимости от того, как они регистрируются - в системном реестре Windows или в API app.setAsDefaultProtocolClient самого Electron. Приложения, которые построены с использованием Electron, но не регистрируются как обработчики каких-либо протоколов (например, клиент Discord или система управления контентом WordPress), не подвержены этой уязвимости. Исправления уязвимости Разработчики Slack уже заявили, что в версии 3.0.3 и выше уязвимость отсутствует, и призвали всех пользователей обновиться как можно скорее. http://filearchive.cnews.ru/img/news/2018/01/25/sss600.jpg"> Одинаковая «дыра» в Skype, Slack и Signal позволяет злоумышленникам
удаленно запускать произвольный код на взломанном ПК В Microsoft отметили, что в последней на данный момент версии Skype этой уязвимости уже нет. Во вторник разработчики Electron выпустили новую версию своего ПО, в котором исправлена указанная ошибка. Всем разработчикам приложений, которые используют Electron, рекомендуется обновиться как можно скорее. На официальных ресурсах разработчиков Signal упоминания уязвимости отсутствуют. «Уязвимости в популярных фреймворках - это всегда гораздо большая проблема, чем аналогичные проблемы в пользовательском ПО, уже в силу масштабов охвата, - говорит [b]Роман Гинятуллин[/b], эксперт по информационной безопасности компании SEC Consult Services. - В случае с Electron проблему удалось решить довольно быстро, хотя в конечном счете все зависит от того, как быстро пройдет обновление до актуальных версий».[img]http://filearchive.cnews.ru/img/news/2018/01/25/sss600.jpg"> Одинаковая «дыра» в Skype, Slack и Signal позволяет злоумышленникам
удаленно запускать произвольный код на взломанном ПК В Microsoft отметили, что в последней на данный момент версии Skype этой уязвимости уже нет. Во вторник разработчики Electron выпустили новую версию своего ПО, в котором исправлена указанная ошибка. Всем разработчикам приложений, которые используют Electron, рекомендуется обновиться как можно скорее. На официальных ресурсах разработчиков Signal упоминания уязвимости отсутствуют. «Уязвимости в популярных фреймворках - это всегда гораздо большая проблема, чем аналогичные проблемы в пользовательском ПО, уже в силу масштабов охвата, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - В случае с Electron проблему удалось решить довольно быстро, хотя в конечном счете все зависит от того, как быстро пройдет обновление до актуальных версий».
удаленно запускать произвольный код на взломанном ПК В Microsoft отметили, что в последней на данный момент версии Skype этой уязвимости уже нет. Во вторник разработчики Electron выпустили новую версию своего ПО, в котором исправлена указанная ошибка. Всем разработчикам приложений, которые используют Electron, рекомендуется обновиться как можно скорее. На официальных ресурсах разработчиков Signal упоминания уязвимости отсутствуют. «Уязвимости в популярных фреймворках - это всегда гораздо большая проблема, чем аналогичные проблемы в пользовательском ПО, уже в силу масштабов охвата, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - В случае с Electron проблему удалось решить довольно быстро, хотя в конечном счете все зависит от того, как быстро пройдет обновление до актуальных версий».
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
В MySQL нашлась архитектурная «дыра» для удобной кражи криптовалюты | 15.87 | Понедельник, 04 февраля 2019 |
Шифрование электронной почты стало бессмысленным: В PGP нашлась серьезная «дыра» | 15.7 | Вторник, 15 мая 2018 |
В популярном движке нашлась дыра, которая позволяет легко захватывать сайты | 15.54 | Понедельник, 02 апреля 2018 |
Skype интегрировали со Slack | 15.37 | Пятница, 15 января 2016 |
В Skype найдена «дыра», которую невозможно заделать. Патча не будет | 13.19 | Среда, 14 февраля 2018 |
Signal Instagram, Facebook. , Signal | 12.7 | Среда, 05 мая 2021 |
Microsoft избавляется от наследия Skype. Сервис Skype Wi-Fi будет переименован и переделан | 9.39 | Среда, 03 июня 2015 |
Создатель Skype объявил Skype безнадежно устаревшим и представил новую разработку лучших умов – Wire | 9.3 | Пятница, 05 декабря 2014 |
Signal Instagram . Facebook | 9.23 | Среда, 05 мая 2021 |
Salesforce Slack 27,7 | 9.12 | Среда, 02 декабря 2020 |