Correctif de vulnérabilité de Webview
· 2 mins de lecture
Une vulnérabilité a été découverte qui permettait de réactiver l'intégration de Node.js dans certaines applications Electron qui la désactivent. L’identificateur CVE CVE a été attribué à cette vulnérabilitéCVE-2018-1000136.
Applications concernées
Une application est affectée si toutes les conditions suivantes sont remplies :
- Fonctionne sur Electron 1.7, 1.8 ou une version bêta 2.0.0
- Permet l’exécution de code distant arbitraire
- Désactive l'intégration de Node.js
- Ne déclare pas explicitement
webviewTag: false
dans ses webPreferences - N’active pas l’option
nativeWindowOption
- N'intercepte pas les événements
new-window
et surcharge manuellementevent.newGuest
sans utiliser le tag d'options fournie
Bien que cela ne semble concerner qu'une minorité d'applications Electron, nous vous encourageons à ce que toutes les applications soient mises à jour par précaution.