Categories: SicherheitSicherheitsmanagement

Sicherheitslücke im Electron-Framework macht Windows-Desktop-Apps angreifbar

Sicherheitsforscher haben eine kritische Sicherheitslücke im Electron-Framework entdeckt, das für die Entwicklung von Windows-Desktop-Apps benutzt wird. Es macht die Anwendungen unter Umständen anfällig für Hackerangriffe. Cyberkriminelle können aus der Ferne Schadcode einschleusen und ausführen, die Kontrolle über die App übernehmen und Daten stehlen.

Electron wird für die Entwicklung von Cross-Plattform-Apps für Mac OS X, Linux und Windows benutzt, die auf JavaScript, HTML und CSS aufbauen. Die Schwachstelle mit der Kennung CVE-2018-1000006 betrifft allerdings nur das Microsoft-Betriebssystem. Zudem sind nur Apps unsicher, die einen eigenen Protokoll-Handler verwenden und sich selbst als voreingestellte App für dieses Protokoll registrieren. Wie das Protokoll registriert wird, ob per nativem Code, über die Windows Registry oder die zugehörige Electron-API, hat offenbar keinen Einfluss auf die Anfälligkeit.

Das Electron-Framework wird für zahlreiche weit verbreitete Desktop-Anwendungen benutzt. Darunter sind Apps wie Skype, Signal, Slack, Shopify und Surf. Allerdings sind nicht alle Apps automatisch angreifbar – entscheidend ist, wie der Entwickler die Electron-Protokolle einsetzt.

In seiner Sicherheitswarnung geht Electron nicht auf möglicherweise unsichere Apps ein. Es lässt sich also nicht einschätzen, wie viele Anwendungen angreifbar oder wie viele Nutzer gefährdet sind.

Im Gespräch mit Cyberscoop bestätigte Microsoft jedoch, dass die neueste Version von Skype die Anfälligkeit abschwächt. Für Nutzer dieser Version bestehe kein Risiko.

Electron hat das Framework inzwischen aktualisiert und die Sicherheitslücke damit geschlossen. Entwickler sollten das Update schnellstmöglich installieren. Sollte ein Upgrade nicht möglich sein, sollten Entwickler beim Aufruf der Funktion „app.setAsDefaultProtocolClient“ die Zeichenfolge „- -“ als letztes Argument anfügen. Sie verhindert, dass Chromium weitere Optionen verarbeitet und der Fehler ausgenutzt werden kann.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

zum Whitepaper

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: AnwendungsentwicklungSecuritySicherheitWindows
7 Jahren ago

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Stunde ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

3 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

3 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

5 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

6 Stunden ago