Electron爆出安全漏洞，影響多款熱門網頁和移動應用

最新公布的一個漏洞可以讓用戶繞開熱門跨平台開發框架Electron的安全檢查。由Trustwave發布 的這個漏洞已得到修補，而開發者應當儘快升級他們的應用。

在開啟nodeIntegration的情況下，這個漏洞允許在某些應用中的跨站腳本執行。nodeIntegration方法讓應用不僅可以連接自己的模塊，還可以連接Node.js模塊。

以下是相關公告：

Electron應用從本質上來看是網頁應用，這意味著它們可能無法正確處理用戶提供的輸入，從而受到跨站腳本攻擊的影響。默認的Electron應用不僅可以訪問自己的API（應用程序介面），還可以訪問模塊中所有Node.js構建。這使得XSS尤其危險，因為攻擊負載可以被允許做一些不當的事情，例如在子進程模塊中發起請求，以及在客戶側執行系統命令。不久之前Atom也存在XSS漏洞，能實現同樣的功能。你可以在應用的網頁選項設置中將modeIntegration設置為false，從而移除對Node.js的訪問。

Electron應用從本質上來看是網頁應用，這意味著它們可能無法正確處理用戶提供的輸入，從而受到跨站腳本攻擊的影響。默認的Electron應用不僅可以訪問自己的API（應用程序介面），還可以訪問模塊中所有Node.js構建。這使得XSS尤其危險，因為攻擊負載可以被允許做一些不當的事情，例如在子進程模塊中發起請求，以及在客戶側執行系統命令。不久之前Atom也存在XSS漏洞，能實現同樣的功能。你可以在應用的網頁選項設置中將modeIntegration設置為false，從而移除對Node.js的訪問。

許多熱門應用都使用Electron，包括Discord、Signal、Visual Studio Code和Github。Slack也在應用中使用Electron。

這個漏洞依賴於nodeIntegration設置，以及打開新窗口的進程。儘管在大部分情況下，nodeIntegration都是被設置為false的，但在某些情況下會設置為true，從而傳遞有問題的腳本，包括調用子進程模塊，實現派生等系統調用，從而在操作系統中執行指令。

你可以在這裡查看Electron的網站。這裡是他們關於此次升級的博文。只要你在過去幾周中升級過平台，那麼大部分應用都不會受到影響。

題圖來自：Artystarty / Getty Images

一再聲明

除微信號外，TechCrunch在其他國內內容平台（如「頭條號」、「搜狐號」、「百家號」、「創業家」、「網易號」）均為爬蟲抓取；「虎嗅」平台的「TechCrunch?」帳號更非我站人員建立，實為踐踏Copyright；除「動點科技」外，其他網站服務中「編譯自TechCrunch」的內容均為未授權翻譯。版式呈現和內容都有一定可能出現滯後、偏差、改動或刪減。TechCrunch不對上述任意平台之「TechCrunch中文版」、「TechCrunch」、「TechCrunch?」帳號，或以「編譯自TechCrunch」為由發布的內容負任何編輯責任，如有糾紛請直接聯繫相應內容平台。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！