보안 동향 ㅣ 남아공, Adobe 적용된 자체 브라우저 공개
침해사고분석팀ㅣ2021.01.27
침해사고분석팀ㅣ2021.01.27
보안 동향 ㅣ 미공개 자료를 위해 보안 연구원들을 노리는 북한 해커들
침해사고분석팀ㅣ2021.01.27
침해사고분석팀ㅣ2021.01.27
침해사고분석팀ㅣ2021.01.26
취약점 정보[CVE-2018-1000136] Electron nodeIntegration Bypass | ||||
작성일 | 2018-05-17 | 조회 | 1033 | |
---|---|---|---|---|
이번에 공개된 [CVE-2018-1000136] Electron Webview nodeIntegration enable RCE 취약점은 Skype, Slack, GitHub Desktop, Twitch, WordPress.com 및 기타인기있는 데스크톱 응용 프로그램잠재적으로 영향을 줍니다.
Electron 프레임 워크는 다양한 보안 매커니즘을 가지고 있는데 그중 XSS공격을 차단하는 메커니즘도 보유하고 있습니다. 데스크탑에서 HTML 및 JS 코드를 실행하는 어플리케이션은 기본적으로 nodeIntegration옵션이 Disable되외 있습니다.("nodeIntegration : false")
// Security options that child windows will always inherit from parent windows
WebView Tag기능은 개발자가 Electron응용프로그램으로, 웹페이지에서 OS 내부의 Process를 실행할 수 있습니다.
webPreferences 설정 파일에서 webviewTag를 false로 설정하면 nodeIngration도 false로 설정되지만 개발자가 webviewTag를 선언하지 않으면 Electron 어플리케이션은 nodeIntegration을 false로 설정합니다.
이렇게 Default nodeIntegration false 어플리케이션은 악의적인 공격자가 심어놓은 nodeIntegration true 스크립트로 인해 임의코드 취약점이 직면하게 됩니다.
Sniper 제품군 대응방안 Sniper-IPS [4277] Electron Webview nodeIntegration enable RCE
Sniper-UTM [805374554] Electron Webview nodeIntegration enable RCE
Sniper-APTX [3529] Electron Webview nodeIntegration enable RCE
|
||||
첨부파일 | 첨부파일이 없습니다. | |||
![]() ![]() ![]() |
||||
태그 | CVE-2018-1000136 nodeIntegration |