WebPreferences 漏洞修复
发现了一个远程代码执行漏洞,影响了能够在 Electron 版本(3.0.0-beta.6、2.0.7、1.8.7 和 1.7.15)上打开嵌套子窗口的应用程序。此漏洞已分配 CVE 标识符 CVE-2018-15685.
受影响的平台
您会受到影响,如果您
- 您嵌入任何远程用户内容,即使是在沙箱中
- 您接受带有任何 XSS 漏洞的用户输入
详情
如果任何用户代码在iframe中运行/可以创建iframe,您将受到影响。鉴于可能存在 XSS 漏洞,可以假设大多数应用程序都容易受到这种情况的影响。
如果您使用nativeWindowOpen: true或sandbox: true选项打开任何窗口,您也会受到影响。虽然此漏洞也需要您的应用程序中存在 XSS 漏洞,但如果您使用这两个选项中的任何一个,您仍然应该应用以下缓解措施之一。
缓解
我们发布了包含此漏洞修复的 Electron 新版本:3.0.0-beta.7、2.0.8、1.8.8 和 1.7.16。我们敦促所有 Electron 开发人员立即将他们的应用程序更新到最新稳定版本。
如果由于某种原因您无法升级 Electron 版本,您可以通过对所有webContents' 的new-window事件屏蔽调用event.preventDefault()来保护您的应用程序。如果您根本不使用window.open或任何子窗口,那么这对于您的应用程序来说也是一个有效的缓解措施。
mainWindow.webContents.on('new-window', (e) => e.preventDefault());
如果您依赖于子窗口创建孙子窗口的能力,那么第三种缓解策略是在您的顶级窗口上使用以下代码
const enforceInheritance = (topWebContents) => {
const handle = (webContents) => {
webContents.on(
'new-window',
(event, url, frameName, disposition, options) => {
if (!options.webPreferences) {
options.webPreferences = {};
}
Object.assign(
options.webPreferences,
topWebContents.getLastWebPreferences()
);
if (options.webContents) {
handle(options.webContents);
}
}
);
};
handle(topWebContents);
};
enforceInheritance(mainWindow.webContents);
此代码将手动强制执行顶级窗口的webPreferences无限深度地手动应用于所有子窗口。
更多信息
此漏洞是由 Matt Austin(Contrast Security 的成员)发现并负责任地报告给 Electron 项目的。
要详细了解有关保持 Electron 应用程序安全的最佳实践,请参阅我们的 安全教程。
如果您想报告 Electron 中的漏洞,请发送电子邮件至 [email protected]。