Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Electronアプリの脆弱性、開発チームが反論 - RCEではなく「クリティカル」は誤り

Electronチームは、指摘を受けた脆弱性を調査した結果、いずれも「クリティカル(Critical)」にあたるものではないとし、脆弱性を悪用するには、環境へ物理的にアクセスできるか、すでにリモートよりコードを実行できる環境が必要であると述べた。

脆弱性の重要度の解釈にあたり、「Chrome」が物理的にアクセスできるローカル環境からの攻撃を脅威モデルの範疇外としている例を挙げ、デバイスにログインしているユーザーによるローカル環境からの悪用は防御する方法がなく、ユーザーを信頼する必要があるとするGoogleの説明を引用している。

今回CVEで説明されているエクスプロイトでは、アプリを汎用の「Node.js」プロセスとして使用し、継承されたTCC権限を持つことになるが、悪用するには攻撃者が被害者のマシン上でコードとプログラムを実行できる必要があることを繰り返し強調した。

Electronの開発チームでは、デフォルトで「runAsNode」「enableNodeCliInspectArguments」が有効化されているとし、脆弱性の影響を緩和するには、アプリ内で「runAsNode」を無効にすることを挙げた。

ただし「runAsNode」を無効にした場合、メインプロセスにおいて「process.fork」が期待どおり機能しないと説明。独立した「Node.js」のプロセスが必要な場合は、ユーティリティプロセスを使用することを推奨している。

(Security NEXT - 2024/02/08 ) このエントリーをはてなブックマークに追加

PR

関連記事

中学校でアンケート票を紛失、一部が県教委に届く - 春日井市
サイトに脆弱性攻撃、会員メールアドレスが流出した可能性 - マリンネット
水道局を装う偽メールに注意 - 「未払料金ある」と誘導
アイドルコンテストのX公式アカウントが乗っ取り被害
WP向けeラーニングプラグインに再度深刻な脆弱性が判明
Fortra製ワークフロー管理ツールのエージェントに深刻な脆弱性
「WordPress」に脆弱性 - 1月のアップデートで修正済み
「セキュリティ・キャンプ2024全国大会」の応募受付を開始
「Node.js」が脆弱性2件を修正 - さらなるアップデートも予定
案内メール誤送信で顧客のメアド流出 - 東京サマーランド