Electronアプリの脆弱性、開発チームが反論 - RCEではなく「クリティカル」は誤り

Electronチームは、指摘を受けた脆弱性を調査した結果、いずれも「クリティカル（Critical）」にあたるものではないとし、脆弱性を悪用するには、環境へ物理的にアクセスできるか、すでにリモートよりコードを実行できる環境が必要であると述べた。

脆弱性の重要度の解釈にあたり、「Chrome」が物理的にアクセスできるローカル環境からの攻撃を脅威モデルの範疇外としている例を挙げ、デバイスにログインしているユーザーによるローカル環境からの悪用は防御する方法がなく、ユーザーを信頼する必要があるとするGoogleの説明を引用している。

今回CVEで説明されているエクスプロイトでは、アプリを汎用の「Node.js」プロセスとして使用し、継承されたTCC権限を持つことになるが、悪用するには攻撃者が被害者のマシン上でコードとプログラムを実行できる必要があることを繰り返し強調した。

Electronの開発チームでは、デフォルトで「runAsNode」「enableNodeCliInspectArguments」が有効化されているとし、脆弱性の影響を緩和するには、アプリ内で「runAsNode」を無効にすることを挙げた。

ただし「runAsNode」を無効にした場合、メインプロセスにおいて「process.fork」が期待どおり機能しないと説明。独立した「Node.js」のプロセスが必要な場合は、ユーティリティプロセスを使用することを推奨している。

（Security NEXT - 2024/02/08 ）ツイート