ニュース
「Electron」に脆弱性、“WebView”を利用する一部アプリケーションに影響
同日付けでリリースされたv1.7.13、v1.8.4、およびv2.0.0-beta.5ですでに修正済み
2018年3月22日 14:16
「Electron」の開発チームは21日(米国時間)、「Node.js」統合を無効化したにもかかわらず再度有効化されてしまう脆弱性(CVE-2018-1000136)が一部の「Electron」アプリで発見されたことを明らかにした。同日付けでリリースされたv1.7.13、v1.8.4、およびv2.0.0-beta.5ですでに修正されている。
開発チームによると、本脆弱性の影響を受ける「Electron」アプリは以下の条件をすべて満たすものだけだという。
- 「Electron」のv1.7、v1.8、またはv2.0.0-betaを利用している
- 任意のリモートコードの実行を許可している
- 「Node.js」統合を無効化している
- “WebPreferences”で“webviewTag: false”を明示的に宣言していない
- “nativeWindowOption”オプションを有効化していない
- “new-window”イベントをインターセプトしておらず、かつ提供されたオプションタグを利用せずに“event.newGuest”を手動でオーバーライドしている
該当する「Electron」アプリは少数だとみられているが、開発チームは予防措置としてすべてのアプリケーションをアップグレードすることを推奨している。また、「Electron」のアップグレードが困難な環境で利用できる修正コードも案内されている。