Electron - это фреймворк с открытым исходным кодом для написания кроссплатформированных настольных приложений с использованием JavaScript, …
Electron - это фреймворк с открытым исходным кодом для написания кроссплатформированных настольных приложений с использованием JavaScript, HTML и CSS. От версий 30.0.0-альфа.1 до 30.0.5 и 31.0.0-альфа.1 до 31.0.0-бета.1, Electron уязвим для обхода ASAR Integrity. Это влияет только на приложения, которые имеют включенные встроенные предохранители AsarIntegrityValidation и только включенные предохранителиLoadAppFromAsar. Приложения без включения этих предохранителей не затрагиваются. Эта проблема специфична для Windows, приложения, использующие эти предохранители на macOS, не затронуты. В частности, эта проблема может быть использована только в том случае, если приложение запущено из файловой системы, доступ злоумышленника также имеет к записи. то есть возможность редактировать файлы внутри пакета .app на macOS, от которого эти предохранительные органы должны защищаться. Этот выпуск был исправлен в версиях 30.0.5 и 31.0.0-beta.1. Нет обходных вариантов для этого вопроса.
Продукт не проверяет или некорректно проверяет значения контроля целостности или «контрольные суммы» сообщения. Это может лишить его возможности обнаружить изменение или повреждение данных при передаче.
https://cwe.mitre.org/data/definitions/354.html →Открыть в коллекции CWE →Как правило, это файлы, редактируемые вручную и не находящиеся в зоне видимости системных администраторов. Любая возможность злоумышленника изменять эти файлы, например в репозитории CVS, предоставляет несанкционированный доступ непосредственно к приложению — такой же, как у авторизованных пользователей.
https://capec.mitre.org/data/definitions/75.html →Открыть в коллекции CAPEC →Злоумышленник подделывает сообщение с контрольной суммой, чтобы полезная нагрузка воспринималась как имеющая допустимую соответствующую контрольную сумму. Контрольные суммы используются для проверки целостности сообщений. Они представляют собой некоторое значение, зависящее от значения защищаемого сообщения. Хеш-коды являются распространённым механизмом контрольных сумм. Как отправитель, так и получатель способны вычислить контрольную сумму на основе содержимого сообщения. Если содержимое сообщения изменится между отправителем и получателем, они получат разные значения контрольной суммы. Поскольку значение контрольной суммы отправителя передаётся вместе с сообщением, получатель узнаёт о произошедшем изменении. При подмене контрольной суммы злоумышленник изменяет тело сообщения, а затем модифицирует соответствующую контрольную сумму так, чтобы вычисленная получателем контрольная сумма совпала с контрольной суммой (сформированной злоумышленником) в сообщении. Это не позволит получателю обнаружить факт изменения.
https://capec.mitre.org/data/definitions/145.html →Открыть в коллекции CAPEC →Злоумышленник способен эффективно расшифровывать данные, не зная ключа дешифрования, если целевая система раскрывает информацию о том, возникла ли ошибка дополнения при расшифровке зашифртекста. Целевая система, утечку такой информации, становится оракулом дополнения, а злоумышленник может использовать этот оракул для эффективной расшифровки данных без знания ключа дешифрования, выполнив в среднем 128*b обращений к оракулу дополнения (где b — количество байт в блоке зашифртекста). Помимо расшифровки, злоумышленник способен также формировать корректные зашифртексты (то есть выполнять шифрование) с использованием оракула дополнения, не зная ключа шифрования.
https://capec.mitre.org/data/definitions/463.html →Открыть в коллекции CAPEC →