关于“runAsNode” CVE 的声明

今天早些时候，Electron 团队收到通知，有多个公开 CVE 最近针对几个著名的 Electron 应用程序提交。这些 CVE 与 Electron 的两个熔断器（runAsNode 和 enableNodeCliInspectArguments）有关，并错误地声称，如果这些组件没有被主动禁用，远程攻击者可以通过这些组件执行任意代码。

我们不认为这些 CVE 是出于善意提交的。首先，这个说法是不正确的 - 该配置不会启用远程代码执行。其次，尽管这些 CVE 中提到的公司拥有漏洞赏金计划，但它们并未收到通知。最后，虽然我们认为禁用有问题的组件可以增强应用程序的安全性，但我们不认为这些 CVE 的严重程度是正确的。“严重”是为最高危险级别的问题保留的，而这里的情况当然不是这样。

任何人都可以请求 CVE。虽然这对软件行业的整体健康有好处，但“刷 CVE”以提高单个安全研究人员的声誉并没有帮助。

也就是说，我们理解仅存在一个具有可怕的“严重”级别的 CVE 可能会导致最终用户混淆，因此作为一个项目，我们想提供指导和帮助来处理这个问题。

这可能会对您产生什么影响？

在审查这些 CVE 后，Electron 团队认为这些 CVE 并不严重。

攻击者需要已经能够在机器上执行任意命令，要么是通过物理访问硬件，要么是通过实现完全的远程代码执行。这一点需要重复强调：描述的漏洞要求攻击者已经可以访问被攻击的系统。

例如，Chrome 在其威胁模型中不考虑物理本地攻击。

我们认为这些攻击超出了 Chrome 的威胁模型，因为 Chrome（或任何应用程序）无法防御设法以您的身份登录到您的设备，或者可以使用您操作系统用户帐户的权限运行软件的恶意用户。这样的攻击者可以修改可执行文件和 DLL，更改环境变量（如 PATH），更改配置文件，读取您的用户帐户拥有的任何数据，将其通过电子邮件发送给自己，等等。这样的攻击者可以完全控制您的设备，而 Chrome 所能做的任何事情都无法提供严肃的防御保证。这个问题并非 Chrome 特有，所有应用程序都必须信任物理本地用户。

CVE 中描述的漏洞允许攻击者然后将受影响的应用程序用作具有继承 TCC 权限的通用 Node.js 进程。因此，如果应用程序（例如）已被授予访问地址簿的权限，则攻击者可以将该应用程序作为 Node.js 运行，并执行将继承该地址簿访问权限的任意代码。这通常被称为“借壳攻击”。攻击者通常使用 PowerShell、Bash 或类似的工具来运行任意代码。

我是否受到影响？

默认情况下，所有已发布的 Electron 版本都启用了 runAsNode 和 enableNodeCliInspectArguments 功能。如果您没有按照 Electron Fuses 文档中的描述关闭它们，您的应用程序同样容易被用作“借壳攻击”。再次强调，攻击者需要已经能够在受害者的机器上执行代码和程序。

缓解措施

缓解此问题最简单的方法是在您的 Electron 应用程序中禁用 runAsNode 熔断器。runAsNode 熔断器切换是否遵守 ELECTRON_RUN_AS_NODE 环境变量。有关如何切换这些熔断器的信息，请参阅Electron Fuses 文档。

请注意，如果禁用此熔断器，则主进程中的 process.fork 将无法按预期工作，因为它依赖于此环境变量才能运行。相反，我们建议您使用实用进程，它适用于许多需要独立 Node.js 进程的用例（例如 Sqlite 服务器进程或类似场景）。

您可以在我们的安全检查清单中找到有关我们为 Electron 应用程序推荐的安全最佳实践的更多信息。