WebPreferences 漏洞修复

发现了一个远程代码执行漏洞，影响了在 Electron 版本 (3.0.0-beta.6, 2.0.7, 1.8.7, and 1.7.15) 中具有打开嵌套子窗口能力的应用程序。该漏洞已被分配 CVE 标识符 CVE-2018-15685。

---

受影响的平台

如果您满足以下条件，则会受到影响：

1. 您嵌入了任何远程用户内容，即使是在沙盒环境中
2. 您接受任何带有 XSS 漏洞的用户输入

详细信息

如果您允许任何用户代码在 iframe 中运行 / 能够创建 iframe，则会受到影响。鉴于存在 XSS 漏洞的可能性，可以假定大多数应用程序都容易受到这种情况的影响。

如果您使用 nativeWindowOpen: true 或 sandbox: true 选项打开任何窗口，您也会受到影响。虽然此漏洞还需要您的应用程序存在 XSS 漏洞，但如果您使用这些选项中的任何一个，仍应应用以下一种缓解措施。

缓解措施

我们已发布了修复此漏洞的新版本 Electron：3.0.0-beta.7、2.0.8、1.8.8 和 1.7.16。我们敦促所有 Electron 开发人员立即将其应用程序更新到最新稳定版本。

如果您因任何原因无法升级您的 Electron 版本，您可以通过在所有 webContents 的 new-window 事件上全局调用 event.preventDefault() 来保护您的应用程序。如果您根本不使用 window.open 或任何子窗口，这也可以作为您应用程序的一种有效缓解措施。

mainWindow.webContents.on('new-window', (e) => e.preventDefault());

如果您依赖子窗口创建孙窗口的能力，那么第三种缓解策略是使用以下代码处理您的顶级窗口：

const enforceInheritance = (topWebContents) => {
  const handle = (webContents) => {
    webContents.on(
      'new-window',
      (event, url, frameName, disposition, options) => {
        if (!options.webPreferences) {
          options.webPreferences = {};
        }
        Object.assign(
          options.webPreferences,
          topWebContents.getLastWebPreferences(),
        );
        if (options.webContents) {
          handle(options.webContents);
        }
      },
    );
  };
  handle(topWebContents);
};

enforceInheritance(mainWindow.webContents);

此代码将手动强制将顶级窗口的 webPreferences 应用于所有深度嵌套的子窗口。

进一步信息

此漏洞由 Contrast Security 的 Matt Austin 负责任地发现并报告给 Electron 项目。

要了解有关保护您的 Electron 应用安全的最佳实践，请参阅我们的安全教程。

如果您希望报告 Electron 的漏洞，请发送电子邮件至 security@electronjs.org。