关于 "runAsNode" CVE 的声明

今天早些时候，Electron 团队收到了关于最近提交给一些知名 Electron 应用的多个公开 CVE 的通知。这些 CVE 与 Electron 的两个 fuses 相关——runAsNode 和 enableNodeCliInspectArguments——并且错误地声称，如果远程攻击者未主动禁用这些组件，就可以通过它们执行任意代码。

我们不认为这些 CVE 是善意提交的。首先，该声明是不正确的——该配置**不**允许远程代码执行。其次，尽管 CVE 中提到的公司设有漏洞赏金计划，但它们并未收到通知。最后，虽然我们确实认为禁用相关组件可以提高应用程序的安全性，但我们不认为这些 CVE 是以正确的严重性级别提交的。“关键”是为最高危险的漏洞保留的，而这里的情况绝非如此。

任何人都可以请求 CVE。虽然这有助于整个软件行业的健康发展，但为了提升某个安全研究员的声誉而“刷 CVE”则无益。

尽管如此，我们理解带有令人担忧的critical严重性的 CVE 的存在可能会导致最终用户混淆，因此作为项目方，我们希望就如何处理此问题提供指导和帮助。

这可能如何影响我？

经过对 CVE 的审查，Electron 团队认为这些 CVE 并非关键性问题。

攻击者需要能够在其计算机上执行任意命令，这要么是通过物理访问硬件，要么是通过已成功实现远程代码执行。这一点需要重申：所描述的漏洞**要求攻击者已经能够访问被攻击的系统**。

例如，Chrome 在其威胁模型中不考虑物理本地攻击。

我们认为这些攻击超出了 Chrome 的威胁模型，因为 Chrome（或任何应用程序）无法防御设法以您的身份登录您的设备或能够以您的操作系统用户帐户特权运行软件的恶意用户。这样的攻击者可以修改可执行文件和 DLL、更改环境变量（如 PATH）、修改配置文件、读取您用户帐户拥有的任何数据并将其通过电子邮件发送给自己等等。这样的攻击者对您的设备拥有完全的控制权，Chrome 无法提供任何严肃的防御保证。这个问题并非 Chrome 特有——所有应用程序都必须信任物理本地用户。

CVE 中描述的利用允许攻击者将受影响的应用程序用作具有继承的 TCC 权限的通用 Node.js 进程。因此，如果该应用程序，例如，已被授予访问地址簿的权限，攻击者就可以将该应用程序作为 Node.js 运行并执行任意代码，而这些代码将继承该地址簿访问权限。这通常被称为“利用系统自带工具进行攻击”（living off the land）攻击。攻击者通常使用 PowerShell、Bash 或类似工具来运行任意代码。

我受到影响吗？

默认情况下，所有已发布的 Electron 版本都启用了 runAsNode 和 enableNodeCliInspectArguments 功能。如果您没有按照 Electron Fuses 文档中的说明将其关闭，您的应用程序同样容易受到被用作“利用系统自带工具进行攻击”的攻击。再次强调，我们需要指出，攻击者需要**已经**能够在受害者的计算机上执行代码和程序。

缓解措施

缓解此问题的最简单方法是禁用 Electron 应用程序中的 runAsNode fuse。runAsNode fuse 控制是否尊重 ELECTRON_RUN_AS_NODE 环境变量。请参阅 Electron Fuses 文档，了解如何切换这些 fuses。

请注意，如果此 fuse 被禁用，那么主进程中的 process.fork 将无法按预期工作，因为它依赖于此环境变量才能正常运行。相反，我们建议您使用 Utility Processes，它适用于许多需要独立 Node.js 进程的用例（例如 Sqlite 服务器进程或类似场景）。

您可以在我们的 安全清单 中找到更多关于我们为 Electron 应用程序推荐的安全最佳实践信息。