Sicherheitslücke im Electron-Framework macht Windows-Desktop-Apps angreifbar

Hacker können unter Umständen Schadcode einschleusen und ausführen. Electron wird unter anderem für die Entwicklung von Apps wie Skype, Slack und Signal verwendet. Skype-Nutzer sind laut Microsoft mit der aktuellsten Version des VoIP-Clients vor den Angriffen geschützt.

Sicherheitsforscher haben eine kritische Sicherheitslücke im Electron-Framework entdeckt, das für die Entwicklung von Windows-Desktop-Apps benutzt wird. Es macht die Anwendungen unter Umständen anfällig für Hackerangriffe. Cyberkriminelle können aus der Ferne Schadcode einschleusen und ausführen, die Kontrolle über die App übernehmen und Daten stehlen.

Bug entdeckt (Bild: Shutterstock)Electron wird für die Entwicklung von Cross-Plattform-Apps für Mac OS X, Linux und Windows benutzt, die auf JavaScript, HTML und CSS aufbauen. Die Schwachstelle mit der Kennung CVE-2018-1000006 betrifft allerdings nur das Microsoft-Betriebssystem. Zudem sind nur Apps unsicher, die einen eigenen Protokoll-Handler verwenden und sich selbst als voreingestellte App für dieses Protokoll registrieren. Wie das Protokoll registriert wird, ob per nativem Code, über die Windows Registry oder die zugehörige Electron-API, hat offenbar keinen Einfluss auf die Anfälligkeit.

Das Electron-Framework wird für zahlreiche weit verbreitete Desktop-Anwendungen benutzt. Darunter sind Apps wie Skype, Signal, Slack, Shopify und Surf. Allerdings sind nicht alle Apps automatisch angreifbar – entscheidend ist, wie der Entwickler die Electron-Protokolle einsetzt.

In seiner Sicherheitswarnung geht Electron nicht auf möglicherweise unsichere Apps ein. Es lässt sich also nicht einschätzen, wie viele Anwendungen angreifbar oder wie viele Nutzer gefährdet sind.

Im Gespräch mit Cyberscoop bestätigte Microsoft jedoch, dass die neueste Version von Skype die Anfälligkeit abschwächt. Für Nutzer dieser Version bestehe kein Risiko.

Electron hat das Framework inzwischen aktualisiert und die Sicherheitslücke damit geschlossen. Entwickler sollten das Update schnellstmöglich installieren. Sollte ein Upgrade nicht möglich sein, sollten Entwickler beim Aufruf der Funktion „app.setAsDefaultProtocolClient“ die Zeichenfolge „- -“ als letztes Argument anfügen. Sie verhindert, dass Chromium weitere Optionen verarbeitet und der Fehler ausgenutzt werden kann.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Was wissen Sie über Mobile Apps? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Anwendungsentwicklung, Microsoft, Security, Sicherheit, Skype, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücke im Electron-Framework macht Windows-Desktop-Apps angreifbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *