Utilizando ciertos parámetros, como el parámetro de tipo debug, «gpu-launcher», se podrían lanzar instancias del sistema, como muestra el PoC realizado por CHYbeta:
![]() |
Fuente: CHYbeta |
Otros investigadores, como wflki, han demostrado este tipo de vulnerabilidad en el wallet de criptomonedas, Exodus:
![]() |
Fuente: wflki |
Electron ha publicado nuevas versiones (1.8.2-beta.4, 1.7.11 y 1.6.16) y urge a los desarrolladores a actualizar sus aplicaciones lo antes posible. También han publicado las contramedidas oportunas, para aquellos que no puedan actualizar por el momento.
@jsmesa
https://github.com/CHYbeta/CVE-2018-1000006-DEMO
Exploiting Electron RCE in Exodus wallet
https://medium.com/@Wflki/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374
Recent protocol handler bug disclosed by Electron as seen in Windows Defender ATP
https://twitter.com/WDSecurity/status/955909703359516673
Deja una respuesta