Malwarebytes Labsは8月12日(米国時間)、「A vulnerability was found in Electron which is what drives Discord, Spotify, and Microsoft Teams」において、ソフトウェア開発フレームワークの「Electron」に複数の脆弱性が発見されたと伝えた。
Electronは、HTML5やCSS、JavaScriptといったWeb技術を用いてデスクトップアプリケーションを開発することができるフレームワークで、Microsoft TeamsやVisual Studio Code(VSCode)、Discordなどの人気アプリケーションでも利用されている。
今回のElectronの脆弱性に関する発表は、米国で開催されたサイバーセキュリティカンファレンス「Black Hat USA 2022」の次のセッションで行われたもの。研究チームがElectronを使用して開発された20のアプリケーションを調査し、そこで発見された複数の脆弱性について報告した。
Pwning Popular Desktop apps while uncovering new attack surface on Electron
発見された脆弱性の一例としては、以下が挙げられている。
- VS Codeにおけるリモートコード実行の脆弱性
- Discordにおけるリモートコード実行の脆弱性
- Microsoft Teamsにおけるクロスサイトスクリプティング脆弱性
- ChromeのCSP(Content Security Policy)バイパスの脆弱性
- V8のリモートコード実行の脆弱性
Electron自体は、オープンソースのWebブラウザ基盤であるChromiumや、ChroniumのV8 JavaScriptエンジン上をベースに構築されたNodeJS JavaScriptランタイムを用いて開発されている。問題を複雑にしているのは、これらの脆弱性には、Chromiumでは修正済みだがElectronには残っているもの、Electronでは修正済だがElectronベースのアプリケーションではまだ残っているものなども含まれているということだ。今回報告された脆弱性も、複数のアプリケーションにまたがって影響を受けるものもあれば、単体のアプリケーションのみに影響するだけのものもある。
これらの脆弱性による被害を最小限に抑えるために、研究チームでは、すべてのセキュリティフラグを有効にすることや、セキュリティ実績のない組み込み機能を使用しないこと、Electronを定期的にアップグレードすること、メインプロセスにセンシティブなIPCを実装しないことなどの対策を実施することを提唱している。