+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 888
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 888
    Points : 58 348
    Points
    58 348
    Billets dans le blog
    2

    Par défaut Une vulnérabilité critique dans le framework Electron pourrait affecter de nombreuses applications populaires

    Une vulnérabilité critique dans le framework Electron pourrait affecter de nombreuses applications populaires
    comme Skype, Slack et bien d'autres

    Une vulnérabilité critique découverte dans le framework Electron pourrait affecter de nombreuses applications de bureau populaires comme Slack, Skype et bien d'autres qui utilisent Electron. Rappelons qu'Electron est un framework basé sur Chromium et Node.js qui vous permet d'écrire des applications de bureau multiplateformes en utilisant les technologies du Web (JavaScript, HTML et CSS), au lieu de les réécrire dans différents langages pour plusieurs plateformes.


    La vulnérabilité en question permet d'exécuter du code à distance et affecte les applications Electron qui utilisent des gestionnaires de protocole personnalisé. Il faut également préciser que les applications ne sont vulnérables que si elles s'exécutent sous Windows et s'enregistrent en tant que gestionnaire par défaut pour un protocole tel que myapp://. De telles applications peuvent être affectées indépendamment de la manière dont le protocole est enregistré, par exemple en utilisant le code natif, le registre Windows ou l'API app.setAsDefaultProtocolClient d'Electron.

    Pour information, le protocole myapp:// permet d’ouvrir une application native directement depuis un lien URL. Ce lien URL peut être présent dans une page web ou un email par exemple. Cela veut dire qu'un protocole personnalisé comme slack:// peut faire en sorte que les utilisateurs puissent cliquer sur des liens dans d'autres logiciels comme un navigateur Web et aller directement dans l'application Slack.

    L'équipe Electron a publié mardi de nouvelles versions de son logiciel pour corriger cette vulnérabilité. Tous les développeurs utilisant Electron sont donc invités à mettre à jour leurs applications immédiatement vers la dernière version stable. Si, pour une raison quelconque, vous ne parvenez pas à mettre à niveau votre version Electron, vous pouvez ajouter -- comme dernier argument lors de l'appel de app.setAsDefaultProtocolClient, ce qui empêche Chromium d'analyser d'autres options. Le double tiret -- signifie la fin des options de commande, après quoi seuls les paramètres de position sont acceptés.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    app.setAsDefaultProtocolClient(protocol, process.execPath, [
      '--your-switches-here',
      '--'
    ])
    On ne sait pas encore exactement quelles sont les applications qui sont affectées, mais d'après un porte-parole de Slack, les versions 3.0.3+ de l'application de messagerie corrigent la vulnérabilité sur Windows. Microsoft a également confirmé que la dernière version de Skype atténuait la vulnérabilité. Notons que macOS et Linux ne sont donc pas vulnérables.

    Sources : Blog Electron, Cyber Scoop

    Et vous ?

    Que pensez-vous de cette vulnérabilité ?
    Utilisez-vous le framework Electron pour le développement de vos applications de bureau ? Qu’en dites-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Inactif
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2018
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Deux Sèvres (Poitou Charente)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : janvier 2018
    Messages : 1
    Points : 1
    Points
    1

    Par défaut

    Si je comprends bien, n'importe quelle page Web peut activer certaines applications locales avec des paramètres arbitraires?

    C'est un peu permissif, comme réglage par défaut (si c'est bien le cas).

    J'aurais bien mis une "permission" à faire approuver par l'utilisateur pour cela, comme l'accès au micro.

Discussions similaires

  1. Réponses: 8
    Dernier message: 01/09/2011, 10h39
  2. Réponses: 0
    Dernier message: 31/01/2011, 11h34
  3. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 09h01
  4. Réponses: 16
    Dernier message: 15/04/2010, 21h22
  5. Réponses: 5
    Dernier message: 07/04/2010, 09h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo