ニュース

アプリフレームワーク「Electron」にリモートコード実行の脆弱性、一部のアプリに影響

修正版が公開、「Electron」のアップデートが難しい場合はワークアラウンドの実施を

「Electron」の公式ブログ

 アプリケーションフレームワーク「Electron」の開発チームは8月22日(米国時間)、「Electron」にリモートコード実行の脆弱性(CVE-2018-15685)が存在することを明らかにした。ネストした子ウィンドウを開くアプリケーションに影響するという。

 開発チームによると、本脆弱性は「Electron」アプリは以下の条件を満たすものに影響する。

  • 「Electron」v3.0.0-beta.6、v2.0.7、v1.8.7、v1.7.15を利用している
  • ユーザーコンテンツをリモートから取得し、埋め込んでいる(サンドボックス機能を有効化している場合も含む)
  • クロスサイトスクリプティング(XSS)脆弱性のあるユーザー入力を受け付けている

 同日付けでリリースされたv3.0.0-beta.7、v2.0.8、v1.8.8およびv1.7.16で修正されているので、本脆弱性への対策としては「Electron」のアップデートが最善だ。「Electron」のアップデートが難しい場合は、公式ブログで紹介されているスニペットを追加して、ウィンドウを開くイベントの既定動作をキャンセルすればよい(“event.preventDefault()”メソッドを呼ぶ)。

 「Electron」は、GitHubが開発したオープンソースのアプリケーション開発フレームワーク。「Chromium」「Node.js」を採用しており、HTML/CSS/JavaScriptといったWeb技術でWindows/Mac/Linuxに対応したネイティブデスクトップアプリケーションを開発できる。