新的 Electron Flaw 漏洞允许 Signal、1Password 和 Slack 被植入后门

最新推荐文章于 2025-10-14 17:27:43 发布
原创 最新推荐文章于 2025-10-14 17:27:43 发布 · 756 阅读 · 6 ·
CC 4.0 BY-SA版权
文章标签:

#electron #javascript #前端 #漏洞 #威胁

新的 Electron Flaw 漏洞允许 Signal、1Password 和 Slack 被植入后门

一个严重漏洞影响了包括 Signal、Slack、1Password 甚至 Google Chrome 在内的大量基于 Electron 的应用程序,该漏洞允许攻击者绕过代码完整性检查并对应用程序进行后门攻击。

该漏洞的编号为CVE-2025-55305,攻击者可以通过篡改 V8 堆快照文件(基于 Chromium 的应用程序用来加快加载时间的内部数据)来利用该漏洞,从而允许攻击者秘密地将持久后门嵌入到其他已签名和受信任的应用程序中。

该问题是由研究员 Darius Houle 在探索 Electro

最低0.47元/天 解锁文章
Electron 安全性最佳实践:防范常见漏洞
zimin的专栏
09-05 1130
Electron 框架的开发生态中,安全性最佳实践是防范常见漏洞的核心保障。它不仅仅是一系列技术措施,更是 Electron 应用从概念到部署的防护盾牌。想象一下,一个广泛使用的桌面应用如一个企业级文件管理器或在线协作工具,它处理敏感数据、加载用户内容,并在多平台运行。如果安全性漏洞未得到有效防范,应用将面临 XSS(跨站脚本攻击)、RCE(远程代码执行)或数据泄露的风险,导致用户隐私受损信任崩塌。Electron 的安全模型通过上下文隔离、节点集成禁用、webSecurity sandbox 等
利用Vulnhub复现漏洞 - Electron 远程命令执行漏洞CVE-2018-1000006)
JiangBuLiu的博客
07-03 1681
Electron 远程命令执行漏洞CVE-2018-1000006)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-1000006/README.zh-cn.md 漏洞原理 Electron是由Github开发,用HTML,CSS...
Electron安全漏洞避坑手册(90%开发者忽略的3个致命问题)
最新发布
codeink的博客
10-14 326
解决前端electron桌面开发常见安全漏洞,本文详解90%开发者忽略的3个致命问题及其规避方案,涵盖权限控制、代码注入防护与更新机制加固,提升应用安全性,值得收藏。
XSSTRON:Electron JS浏览器自动查找XSS漏洞
03-06
XSSTRON,Electron JS浏览器来查找XSS漏洞 强大的Chromium浏览器可在浏览Web时自动查找XSS Vulnerabilites,它也可以检测多种情况并支持POST请求 安装 Install Node.js and npm (https://www.npmjs.com/get-npm) or (sudo apt install npm) Download this repo files or (git clone https://github.com/RenwaX23/XSSTRON) cd XSSTRON npm install npm start 一些使用Debian / Ubuntu的用户可能无法运行该工具,因为我认为这是Electron本身的问题,您可以继续在Windows上安装的Window / OSXLinux中使用该应用程序。 检查 用法 就像普通的网
Electron攻击面分析
Karka_的博客
08-15 824
在今年Blackhat的会议上,安全研究员Aaditya PuraniMax GarreG分享了议题《Pwning Popular Desktop分享了几个Electron利用的新方法他们挖到几个Electron应用的漏洞案例。Electron是一个桌面应用程序的框架,极大的方便了跨平台应用的开发。ChromiumNodeJS是Electron的重要组成部分。因为Electron拥有直接执行Nodejs代码的能力,并且内置了Chromium内核。一个XSS漏洞,很可能就会导致RCE。
ZDI年度五大漏洞之—--ELECTRON BOOGALOO --一个技术影响多个产品
一个码农的笔记
12-25 3万+
翻译自:https://www.zerodayinitiative.com/blog/2018/12/18/top-5-day-two-electron-boogaloo-a-case-for-technodiversity 翻译:聂心明 这是2018年五大最有趣漏洞的第二篇,每一个bug都有一些基本的特征,这个特征使他们与其他的1400份报告区别开来。这篇博客主要讲Electron框架中的多个b...
electron-360-image-viewer:Three.jsElectron应用程序允许拖放360图像加载并在场景中四处查看
05-01
Electron 360 Image Viewer 非常简单的Three.jsElectron应用程序,允许拖放360图像加载并在场景中四处查看。 入门 yarn yarn start 将360图像文件拖放到窗口中,然后将视口拖动到图像周围。 样本图片
Electron中实现文件下载、保存执行功能的完整教程
接着奏乐接着舞的博客
05-14 1244
本文详细介绍了在Electron应用中实现下载更新文件并执行的完整流程。Electron应用分为主进程渲染进程,出于安全考虑,渲染进程不能直接访问Node.js API文件系统。因此,核心功能在主进程中实现,并通过预加载脚本安全地暴露给渲染进程。具体步骤包括:在主进程中处理下载请求,确保目录存在并清理旧文件,下载文件到指定路径,设置可执行权限(非Windows平台),并创建版本化副本。下载过程中,主进程会实时更新下载进度并发送给渲染进程。通过这种架构,既保证了应用的安全性,又实现了丰富的功能。
electron-receipt-print:来自electronjs-receipt-print的新项目
05-25
electronjs-receipt-print 本项目的目的是利用Electron构建一个打印票据的应用,目的是得到一个应用,并在应用构建过程中逐步掌握Electron。 环境的搭建 Electron依赖NodeJS,故系统应首先安装NodeJS Electron可全局...
electron最新版
12-20
"electron最新版"指的是Electron的最新稳定版本,通常包含了性能优化、新功能修复已知问题的更新。 在提供的文件列表中,我们可以看到与Electron应用开发密切相关的文件: 1. **app.asar**: 这是Electron应用...
ElasticSearch 目录穿越漏洞CVE-2015-3337)
黑白的博客
12-13 2726
声明 好好学习,天天向上 漏洞描述 在安装了具有“site”功能的插件以后,插件目录使用…/即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。 影响范围 1.4.5以下/1.5.2以下 复现过程 这里使用v1.4.4版本 使用vulhub cd /app/vulhub-master/elasticsearch/CVE-2015-3337 使用docker启动 docker-compose up -d 环境启动后,访问http://your-ip:920
关于Electron框架应用的安全测试
xuhss_com的博客
04-13 1122
Python微信订餐小程序课程视频 https://blog.youkuaiyun.com/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.youkuaiyun.com/m0_56069948/article/details/122285941 Electron框架应用的安全测试 0.Electron相关简介 electron.js是一个运行时框架,它在设计之初就结合了当今最好的Web技术,核心是使用HTML、CSS、JavaScript构建跨
利用Vulnhub复现漏洞 - Electron WebPreferences 远程命令执行漏洞CVE-2018-15685)
JiangBuLiu的博客
07-03 1249
Electron WebPreferences 远程命令执行漏洞CVE-2018-15685)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现 Vulnhub官方复现教程 https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-15685/README.zh-cn.md 漏洞原理 Electron是由Github开发...
electron 远程命令执行漏洞CVE-2018-1000006)
EC_Carrot的博客
06-01 664
漏洞背景 GitHub Electron是美国GitHub公司的一个应用程序开发框架。该框架支持使用JavaScript、HTMLCSS编写跨平台桌面应用程序。 GitHub Electron 1.8.2-beta.3及之前版本、1.7.10及之前版本1.6.15及之前版本中的protocol handler存在安全漏洞。攻击者可借助特制的URL利用该漏洞执行任意命令。 漏洞复现 首先,在POC页面,点击第一个链接,下载编译好的软件vulhub-app.tar.gz。下载完成后解压,并运行一次 这一次将
微信各平台历史版本含下载地址大全( 安卓 | Windows | MAC )
热门推荐
网络研究观
07-24 6万+
微信各平台历史版本含下载地址大全
2022年有多少人使用微信?
网络研究观
12-15 3万+
预计到 2025 年将达到 25 亿用户。
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值