Webview 漏洞修复
·阅读时间 2 分钟
已发现一个漏洞,允许在某些禁用 Node.js 集成的 Electron 应用程序中重新启用 Node.js 集成。此漏洞已分配 CVE 标识符 CVE-2018-1000136.
受影响的应用程序
如果满足以下所有条件,则应用程序会受到影响
- 运行在 Electron 1.7、1.8 或 2.0.0-beta 上
- 允许执行任意远程代码
- 禁用 Node.js 集成
- 未在其 webPreferences 中明确声明
webviewTag: false - 未启用
nativeWindowOption选项 - 未拦截
new-window事件并手动覆盖event.newGuest而不使用提供的选项标签
虽然这似乎只影响一小部分 Electron 应用程序,但我们建议所有应用程序升级以防万一。
缓解措施
此漏洞已在今天的 1.7.13、1.8.4 和 2.0.0-beta.5 版本中修复。
无法升级其应用程序 Electron 版本的开发人员可以使用以下代码缓解此漏洞
app.on('web-contents-created', (event, win) => {
win.on(
'new-window',
(event, newURL, frameName, disposition, options, additionalFeatures) => {
if (!options.webPreferences) options.webPreferences = {};
options.webPreferences.nodeIntegration = false;
options.webPreferences.nodeIntegrationInWorker = false;
options.webPreferences.webviewTag = false;
delete options.webPreferences.preload;
}
);
});
// and *IF* you don't use WebViews at all,
// you might also want
app.on('web-contents-created', (event, win) => {
win.on('will-attach-webview', (event, webPreferences, params) => {
event.preventDefault();
});
});
更多信息
此漏洞由 Trustwave SpiderLabs 的 Brendan Scarvell 发现并负责任地报告给 Electron 项目。
要了解有关保持 Electron 应用程序安全的最佳实践的更多信息,请参阅我们的 安全教程。
要报告 Electron 中的漏洞,请发送电子邮件至 [email protected]。
请加入我们的 电子邮件列表 以接收有关发布和安全更新的信息。