安全研究人员发现Discord、MicrosoftTeams等应用软件使用的底层框架存在RCE(远程代码执行)漏洞。在周四于拉斯维加斯举行的黑帽网络安全会议上,安全研究人员发现了Discord、MicrosoftTeams、Slack等流行应用程序的底层框架。一系列漏洞,这些应用程序被全球数千万人使用。安全研究人员展示了他们的发现,详细说明了他们如何通过利用所有这些软件的底层框架来危害Discord、MicrosoftTeams和聊天应用程序Element的用户。Electron是建立在Chromium和跨平台JavaScript运行时环境Node.js之上的前端框架。对于发现的所有案例,安全研究人员已将漏洞提交给Electron进行官方修复,为此他们获得了超过10,000美元的奖励。据报道,这些漏洞在研究人员发表研究之前就已修复。发现该漏洞的研究人员之一AadityaPurani说:“普通用户应该知道Electron应用程序与他们每天使用的浏览器不同,”这意味着它们可能更容易受到攻击。就Discord而言,Purani和他的同事发现的漏洞只需要他们发送启动视频的恶意链接即可。在MicrosoftTeams中,他们发现的漏洞可以通过邀请受害者参加会议来加以利用。在这两种情况下,如果受害者点击链接,攻击者就可以控制他们的计算机,Purani在他的演讲中解释道。Purani指出,所有这些漏洞利用的第一个要求是在Electron应用程序的webview(呈现网站的部分)中执行JavaScript。这可以通过XSS、OpenURL重定向等漏洞或通过网站中的创建嵌入、降价等功能来实现。在Discord和Element的案例中,安全研究人员正是以这种方式利用漏洞。第二个要求是滥用ElectronJS框架来升级任意JavaScript执行,以对最终用户操作系统进行远程代码执行攻击。这些漏洞取决于应用程序中可用的安全设置和IPC通道。在他的演讲中,Purani展示了从最宽松到最严格设置的攻击向量。单击此处了解详情。Purani在接受采访时表示,他不使用基于Electron开发的应用程序,而是选择在浏览器中使用Discord或Slack等应用程序,因为后者更安全。他建议对安全性偏执的用户最好使用网站本身,因为这样他们就可以得到Chromium提供的保护,Chromium比Electron更安全。本文转自OSCHINA文章标题:Electron被曝远程代码执行漏洞,Discord、Notion、Teams受影响
