Electron: Was es mit dem Patch des Patches auf sich hat...
Die Entwickler von Electron haben in der vorigen Woche einen Patch für den Januar-Patch ihres Cross-Plattform-Frameworks zur Erstellung von Desktop-Apps veröffentlicht. Ein Sicherheitsforscher von Doyensec erläuterte nun, warum das notwendig war.
- Frank-Michael Schlede
Die Entwickler des Electron-Toolkits, ein Framework, das zu Entwicklung Cross-Plattform-Anwendungen verwendet wird, haben bereits in der vorigen Woche einen Patch für einen anderen Patch bereitgestellt, den sie im Januar ausgerollt hatten. Dieser betraf die Schwachstelle mit der Bezeichnung CVE-2018-1000006, mit der die Ausführung von Remote-Code in Windows-Anwendungen, die auf Electrons Framework basieren, möglich wurde.
Diese Sicherheitslücke konnten Angreifer ausnutzen, sodass auf einem Windows-PC beliebige Kommandos ausgeführt werden konnten, die das Opfer dazu brachten, auf eine böswillig veränderte URL zu klicken. Diese Lücke wurde von Electron am 22. Januar gepatcht. Allerdings fand der Sicherheitsforscher Luca Carettoni, der bei Doyensec tätig ist, bei einem genaueren Blick auf den Patch noch Probleme.
In einem Post auf dem Blog seiner Firma, den er am 24. Mai veröffentlichte, erläutert er ausführlich, warum Electron gezwungen war, den Patch im Mai durch einen weiteren Patch zu ergänzen. Bei der Analyse des Januar-Patches stellten er und seine Kollegen fest, dass ein Bypass existierte, der unter bestimmten Umständen zu einem Session Hijacking und der anschließenden Ausführung von Remote-Code führen konnte.
Proof-of-Concept-Video zeigt, wie der Angriff funktioniert
Er demonstriert im Rahmen des Blogbeitrags zudem in einem Proof-of-Concept-Video anhand der Windows-Version von Skype, die das Electron-Framework nutzt, wie die Anwendung dazu "verleitet werden kann", allen Chromium-Datenverkehr auf eine bösartige Domain umzuleiten. Dabei betont er aber auch, dass es auf diese Weise nur möglich ist, den Datenverkehr abzufangen, der von Chromium generiert wird und nicht den von Node erzeugten. Somit ist laut seinen Aussagen die Update-Funktion zusammen mit anderen kritischen Funktionen von Electron nicht von diesem Bypass betroffen.
Carettoni rät Entwicklern, die es bis jetzt noch nicht getan haben, unbedingt die Electron Releases v2.0.1, v1.8.7, und v1.7.15. vom 16. Mai einzusetzen. Das Entwickler-Team von Electron arbeitet nach eigenen Angaben an einer "robusteren" Lösung, die in Zukunft einen solchen Bypass verhindern soll. Zudem sollten Programmierer, die Apps auf Basis des Electron-Frameworks entwickelt und ausgeliefert haben, ihren Nutzern so schnell wie möglich eine aktualisierte, neue Version der Software zur Verfügung stellen. (fms)