Electron 원격 코드 실행 취약점 업데이트 권고

by 메가IDC posted Jan 30, 2018
?

단축키

Prev이전 문서

Next다음 문서

ESC닫기

크게 작게 위로 아래로 댓글로 가기 인쇄
□ 개요
 o Electron에서 원격 코드 실행이 가능한 취약점 발견
    ※ Electron : Node.js 및 Chromium 엔진을 기반으로 하는 오픈 소스 프레임워크로, 각 운영체제에 사용되는

        프로그래밍 언어에 대한 지식 없이도 Windows, MacOS, Linux용 응용 프로그램 개발 가능하여 Skype, Signal, Wordpress,
        Signal 등 다양한 응용 프로그램에서 사용되고 있음
 o 취약한 버전을 사용 중인 개발 담당자 및 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
 
□ 주요 내용
  o 자체 프로토콜 처리기(myapp://)에서 발생하는 원격 코드 실행 취약점(CVE-2018-1000006)
 
□ 영향을 받는 제품 및 버전
  o 1.8.2-beta.3 및 이전 버전
  o 1.7.10 및 이전 버전
  o 1.6.15 및 이전 버전
    ※ 해당 취약점은 Windows 환경에서만 발생되며, MacOS 및 Linux 기반의 응용 프로그램은 취약점에 영향을 받지 않음
 
□ 해결 방안
  o 취약점이 해결된 버전으로 업데이트 수행 [1]
    - 1.8.2-beta.4 버전
    - 1.7.11 버전
    - 1.6.16 버전
 
[참고사이트]
  [1] https://github.com/electron/electron/releases