Skip to main content

10 posts tagged with "Security"

Blog posts related to security

View All Tags

runAsNode CVEs 관련 성명

· 7 min read
VerteDinde
VerteDinde
felixrieseberg
felixrieseberg

오늘 Electron 팀은 여러 유명 Electron 앱에 대해 최근 제출된 여러 공개 CVE에 대해 알림을 받았다. 이 CVE들은 Electron의 두 가지 퓨즈(fuse)runAsNodeenableNodeCliInspectArguments와 관련되어 있으며, 이 퓨즈들이 명시적으로 비활성화되지 않은 경우 원격 공격자가 이를 통해 임의의 코드를 실행할 수 있다고 잘못 주장하고 있다.

우리는 이 CVE들이 순수한 의도로 제출되었다고 보지 않는다. 첫째, 해당 주장은 사실이 아니다. 이 설정은 원격 코드 실행을 허용하지 않는다. 둘째, 이 CVE에서 언급된 회사들은 버그 바운티 프로그램을 운영하고 있음에도 불구하고 사전에 통보를 받지 못했다. 마지막으로, 해당 퓨즈를 비활성화하는 것이 앱 보안을 강화하는 데 도움이 된다고 생각하지만, 이 CVE들이 올바른 심각도로 제출되었다고 보지 않는다. "위험(Critical)" 등급은 가장 심각한 문제에만 적용되어야 하며, 이 경우는 해당되지 않는다.

누구나 CVE를 요청할 수 있다. 이는 소프트웨어 산업 전반의 건강에 도움이 되지만, 단일 보안 연구원의 평판을 높이기 위해 CVE를 남발하는 것은 도움이 되지 않는다.

그러나, 위험(Critical)이라는 심각도가 붙은 CVE가 존재한다는 사실만으로도 최종 사용자들이 혼란을 느낄 수 있다는 점을 이해한다. 따라서 프로젝트로서 이 문제를 해결하기 위한 지침과 지원을 제공하고자 한다.

이 문제가 나에게 어떤 영향을 미칠까?

Electron 팀은 이 CVE(공통 취약점 및 노출)가 심각하지 않다고 판단했다. 공격자는 이미 하드웨어에 물리적으로 접근하거나 원격 코드 실행을 완료한 상태여야 한다. 다시 말해, 이 취약점을 악용하려면 공격자가 이미 해당 시스템에 접근할 수 있어야 한다.

예를 들어, Chrome은 물리적 접근 공격을 위협 모델에서 고려하지 않는다:

Chrome(또는 어떤 애플리케이션도)은 사용자로 로그인하거나 운영체제 사용자 계정 권한으로 소프트웨어를 실행할 수 있는 악의적인 사용자로부터 방어할 방법이 없다. 따라서 이러한 공격은 Chrome의 위협 모델에서 제외한다. 이런 공격자는 실행 파일과 DLL을 수정하거나, PATH와 같은 환경 변수를 변경하거나, 설정 파일을 바꾸고, 사용자 계정이 소유한 모든 데이터를 읽어 이메일로 보낼 수 있다. 공격자는 디바이스를 완전히 통제하며, Chrome이 할 수 있는 일로는 심각한 방어를 보장할 수 없다. 이 문제는 Chrome에만 국한되지 않는다. 모든 애플리케이션은 물리적으로 접근 가능한 사용자를 신뢰할 수밖에 없다.

CVE에 설명된 익스플로잇은 공격자가 영향을 받는 앱을 상속된 TCC 권한을 가진 일반적인 Node.js 프로세스로 사용할 수 있게 한다. 예를 들어, 앱이 주소록에 접근할 수 있는 권한을 가지고 있다면, 공격자는 앱을 Node.js로 실행해 주소록 접근 권한을 상속받는 임의의 코드를 실행할 수 있다. 이는 일반적으로 "Living off the Land" 공격으로 알려져 있다. 공격자는 주로 PowerShell, Bash 또는 유사한 도구를 사용해 임의의 코드를 실행한다.

내 애플리케이션도 영향을 받을까?

기본적으로 모든 Electron 릴리스 버전은 runAsNodeenableNodeCliInspectArguments 기능이 활성화된 상태로 제공된다. Electron Fuses 문서에 설명된 대로 이 기능들을 비활성화하지 않았다면, 여러분의 애플리케이션도 "Living off the Land" 공격에 취약할 수 있다. 다시 강조하지만, 공격자가 피해자의 머신에서 코드와 프로그램을 실행할 수 있어야만 이런 공격이 가능하다는 점을 명심해야 한다.

문제 완화 방법

이 문제를 해결하는 가장 쉬운 방법은 Electron 앱 내에서 runAsNode 퓨즈를 비활성화하는 것이다. runAsNode 퓨즈는 ELECTRON_RUN_AS_NODE 환경 변수를 적용할지 여부를 결정한다. 이 퓨즈를 조작하는 방법은 Electron Fuses 문서에서 확인할 수 있다.

이 퓨즈를 비활성화하면 메인 프로세스에서 process.fork가 정상적으로 동작하지 않는다. 이 함수는 해당 환경 변수에 의존하기 때문이다. 대신, 독립적인 Node.js 프로세스가 필요한 경우(예: Sqlite 서버 프로세스 등) Utility Processes를 사용하는 것을 권장한다.

Electron 앱의 보안 모범 사례에 대한 자세한 내용은 보안 체크리스트에서 확인할 수 있다.

Breach to Barrier: Strengthening Apps with the Sandbox

· 8 min read
felixrieseberg
felixrieseberg

CVE-2023-4863: WebP의 힙 버퍼 오버플로우가 공개된 지 일주일이 넘었고, 이로 인해 webp 이미지를 렌더링하는 소프트웨어의 새로운 버전이 속속 출시되었다. macOS, iOS, Chrome, Firefox, 그리고 다양한 리눅스 배포판 모두 업데이트를 받았다. 이는 Citizen Lab의 조사에 따른 것으로, "워싱턴 DC에 기반을 둔 시민 사회 조직"이 사용하는 iPhone이 iMessage 내부의 제로 클릭 익스플로잇을 통해 공격받고 있음을 발견한 결과였다.

Electron 또한 이에 대응해 같은 날 새로운 버전을 출시했다. 만약 여러분의 앱이 사용자가 제공한 콘텐츠를 렌더링한다면, Electron 버전을 업데이트해야 한다. v27.0.0-beta.2, v26.2.1, v25.8.1, v24.8.3, 그리고 v22.3.24 버전 모두 webp 이미지 렌더링을 담당하는 libwebp 라이브러리의 수정된 버전을 포함하고 있다.

이제 "이미지 렌더링"과 같이 무해해 보이는 상호작용도 잠재적으로 위험한 활동일 수 있다는 사실을 모두가 새롭게 인지하게 되었다. 이 기회를 통해 Electron이 프로세스 샌드박스를 제공하여 다음 대규모 공격의 피해 범위를 제한할 수 있다는 점을 상기시키고자 한다. 이 공격이 무엇이든 간에 말이다.

샌드박스는 Electron v1부터 사용 가능했고, v20부터는 기본적으로 활성화되었다. 하지만 많은 앱(특히 오랫동안 사용되어 온 앱)이 코드 어딘가에 sandbox: false를 설정했거나, nodeIntegration: true를 설정하여 명시적인 sandbox 설정이 없을 때 샌드박스를 비활성화했을 가능성이 있다. 이는 이해할 수 있다. 오랫동안 Electron을 사용해왔다면, HTML/CSS를 실행하는 동일한 코드에 require("child_process")require("fs")를 추가하는 강력한 기능을 즐겼을 것이다.

샌드박스로 마이그레이션하는 방법에 대해 이야기하기 전에, 먼저 샌드박스를 사용해야 하는지 논의해보자.

샌드박스는 모든 렌더러 프로세스 주위에 견고한 케이지를 둔다. 이는 내부에서 무슨 일이 일어나든 코드가 제한된 환경 내에서 실행되도록 보장한다. 이 개념은 Chromium보다 훨씬 오래되었으며, 모든 주요 운영체제에서 기능으로 제공된다. Electron과 Chromium의 샌드박스는 이러한 시스템 기능 위에 구축된다. 사용자 생성 콘텐츠를 표시하지 않더라도, 렌더러가 손상될 가능성을 고려해야 한다. 공급망 공격과 같은 정교한 시나리오부터 작은 버그까지, 렌더러가 의도하지 않은 동작을 할 수 있다.

샌드박스는 이러한 시나리오를 훨씬 덜 무섭게 만든다. 내부 프로세스는 CPU 사이클과 메모리를 자유롭게 사용할 수 있지만, 그 이상의 권한은 없다. 프로세스는 디스크에 쓸 수도 없고, 자신의 윈도우를 표시할 수도 없다. libwebp 버그의 경우, 샌드박스는 공격자가 악성코드를 설치하거나 실행할 수 없도록 보장한다. 사실, 직원의 iPhone을 대상으로 한 원래의 Pegasus 공격에서, 공격자는 일반적으로 샌드박스된 iMessage의 경계를 벗어나기 위해 비 샌드박스된 이미지 프로세스를 특정적으로 타겟팅했다. 이 예제와 같은 CVE가 발표되면, 여전히 Electron 앱을 안전한 버전으로 업그레이드해야 하지만, 그동안 공격자가 할 수 있는 피해의 양은 크게 제한된다.

sandbox: false에서 sandbox: true로 바닐라 Electron 애플리케이션을 마이그레이션하는 것은 상당한 작업이다. 나는 Electron 보안 가이드라인의 초안을 직접 작성했음에도 불구하고, 내 앱 중 하나를 마이그레이션하지 못했음을 알고 있다. 이번 주말에 그 작업을 마쳤고, 여러분도 그렇게 하기를 권장한다.

라인 변경 수에 겁먹지 마세요. 대부분은 package-lock.json에 있습니다.

두 가지 작업을 해야 한다:

  1. preload 스크립트나 실제 WebContents에서 Node.js 코드를 사용하고 있다면, 모든 Node.js 상호작용을 메인 프로세스(또는, 고급스럽게 유틸리티 프로세스)로 옮겨야 한다. 렌더러가 얼마나 강력해졌는지 고려하면, 대부분의 코드는 리팩토링이 필요하지 않을 가능성이 높다.

    프로세스 간 통신에 대한 문서를 참고하라. 내 경우에는 많은 코드를 옮기고 ipcRenderer.invoke()ipcMain.handle()로 감쌌지만, 과정은 직관적이었고 빠르게 완료되었다. 여기서 API에 대해 조금 신경 써야 한다. 만약 executeCodeAsRoot(code)와 같은 API를 만든다면, 샌드박스가 사용자를 크게 보호해주지 못할 것이다.

  2. 샌드박스를 활성화하면 preload 스크립트에서 Node.js 통합이 비활성화되므로, 더 이상 require("../my-script")를 사용할 수 없다. 즉, preload 스크립트는 단일 파일이어야 한다.

    이를 위한 여러 방법이 있다: Webpack, esbuild, parcel, 그리고 rollup 모두 이 작업을 처리할 수 있다. 나는 Electron Forge의 훌륭한 Webpack 플러그인을 사용했고, electron-builder의 사용자는 electron-webpack을 사용할 수 있다.

전체적으로 이 과정은 약 4일이 걸렸다. Webpack의 강력한 기능을 어떻게 다룰지 고민하는 시간도 포함되었는데, 이 기회를 통해 코드를 다른 방식으로도 리팩토링하기로 결정했기 때문이다.

Chromium WebAudio 취약점 패치 (CVE-2019-13720)

· 3 min read
nornagon
nornagon

Chrome에서 고위험 취약점이 발견되었으며, 이는 Electron을 포함한 모든 Chromium 기반 소프트웨어에 영향을 미친다.

이 취약점은 CVE-2019-13720로 할당되었다. 자세한 내용은 Chrome 블로그 포스트에서 확인할 수 있다.

현재 이 취약점이 실제로 악용되고 있다는 보고가 있으므로, 가능한 한 빨리 Electron을 업그레이드할 것을 강력히 권장한다.

범위

이 내용은 서드파티나 신뢰할 수 없는 자바스크립트를 실행할 수 있는 모든 Electron 애플리케이션에 영향을 미친다.

취약점 대응

영향을 받는 앱은 패치된 버전의 Electron으로 업그레이드해야 한다.

이 취약점에 대한 수정 사항이 포함된 Electron의 새로운 버전을 공개했다:

Electron 7.0.1은 공지 전에 이미 상위 버전에서 수정 사항을 자동으로 포함했다. Electron 8도 마찬가지로 영향을 받지 않는다. Electron 5에는 이 취약점이 존재하지 않아 해당 버전도 안전하다.

추가 정보

이 취약점은 Kaspersky Labs의 Anton Ivanov와 Alexey Kulaev가 발견했으며, Chrome 팀에 보고되었다. 관련 내용은 Chrome 블로그 포스트에서 확인할 수 있다.

Electron 앱의 보안을 유지하는 모범 사례에 대해 더 알고 싶다면 보안 튜토리얼을 참고한다.

Electron에서 취약점을 발견했다면 security@electronjs.org로 이메일을 보내면 된다.

Chromium FileReader Vulnerability Fix

· 2 min read
MarshallOfSound
MarshallOfSound

Chrome에서 심각도가 높은 취약점이 발견되었으며, 이는 Electron을 포함한 모든 Chromium 기반 소프트웨어에 영향을 미친다.

이 취약점은 CVE-2019-5786로 지정되었다. 자세한 내용은 Chrome 블로그 포스트에서 확인할 수 있다.

Chrome은 이 취약점이 실제로 악용되고 있다는 보고를 받았으므로, 가능한 한 빨리 Electron을 업그레이드할 것을 강력히 권장한다.

범위

이 내용은 제3자나 신뢰할 수 없는 자바스크립트를 실행할 수 있는 모든 Electron 애플리케이션에 영향을 미친다.

보안 대응

이 취약점의 영향을 받는 애플리케이션은 패치된 Electron 버전으로 업그레이드해야 한다.

이 취약점을 해결한 새로운 Electron 버전을 다음과 같이 공개했다:

Electron 5의 최신 베타 버전은 Chromium 73을 기반으로 하므로 이미 패치가 적용된 상태다:

추가 정보

이 취약점은 Google 위협 분석 그룹의 Clement Lecigne가 발견했으며, Chrome 팀에 보고했다. 관련 Chrome 블로그 글은 여기에서 확인할 수 있다.

Electron 앱의 보안을 유지하기 위한 모범 사례를 더 알고 싶다면 보안 튜터리얼을 참고한다.

Electron에서 취약점을 발견했다면 security@electronjs.org로 이메일을 보내면 된다.

BrowserView window.open() 취약점 수정

· 2 min read
ckerr
ckerr

Node.js를 자식 윈도우에서 다시 활성화할 수 있는 코드 취약점이 발견되었다.

sandbox: true 또는 nativeWindowOpen: truenodeIntegration: false 옵션으로 BrowserView를 열면, window.open을 호출할 수 있는 webContents가 생성된다. 이때 새로 열린 자식 윈도우에서는 nodeIntegration이 활성화된다. 이 취약점은 현재 지원되는 모든 Electron 버전에 영향을 미친다.

취약점 완화

이 취약점을 해결한 새로운 버전의 Electron을 출시했다. 해당 버전은 다음과 같다: 2.0.17, 3.0.15, 3.1.3, 4.0.4, 그리고 5.0.0-beta.2.

모든 Electron 개발자는 가능한 한 빨리 최신 안정 버전으로 앱을 업데이트할 것을 권장한다.

어떤 이유로든 Electron 버전을 업그레이드할 수 없는 경우, 모든 하위 웹 콘텐츠를 비활성화해 이 문제를 완화할 수 있다:

view.webContents.on('-add-new-contents', (e) => e.preventDefault());

추가 정보

이 취약점은 PalmerAL에 의해 발견되어 Electron 프로젝트에 책임감 있게 보고되었다.

Electron 애플리케이션의 보안을 유지하기 위한 모범 사례에 대해 더 알고 싶다면 보안 튜토리얼을 참고한다.

Electron에서 취약점을 발견하고 보고하려면 security@electronjs.org로 이메일을 보낸다.

SQLite Vulnerability Fix

· 2 min read
ckerr
ckerr

원격 코드 실행 취약점인 "Magellan"이 발견되었다. 이 취약점은 SQLite나 Chromium 기반의 소프트웨어에 영향을 미치며, Electron의 모든 버전도 포함된다.

적용 범위

Web SQL을 사용하는 Electron 애플리케이션이 영향을 받는다.

대응 방안

영향을 받는 앱은 Web SQL 사용을 중단하거나 패치된 버전의 Electron으로 업그레이드해야 한다.

이 취약점을 해결한 새로운 버전의 Electron을 출시했다:

현재까지 실제 사례는 보고되지 않았지만, 영향을 받는 애플리케이션은 반드시 대응 조치를 취해야 한다.

추가 정보

이 취약점은 Tencent Blade 팀에 의해 발견되었다. 이 팀은 해당 취약점에 대해 논의한 블로그 포스트를 공개했다.

Electron 앱의 보안을 유지하기 위한 모범 사례에 대해 더 알고 싶다면 보안 튜토리얼을 참고한다.

Electron에서 발견한 취약점을 보고하려면 security@electronjs.org로 이메일을 보낸다.

WebPreferences Vulnerability Fix

· 4 min read
ckerr
ckerr

Electron 버전(3.0.0-beta.6, 2.0.7, 1.8.7, 1.7.15)에서 중첩된 자식 윈도우를 열 수 있는 기능을 가진 앱에 원격 코드 실행 취약점이 발견되었다. 이 취약점은 CVE 식별자 CVE-2018-15685로 지정되었다.

영향을 받는 플랫폼

다음과 같은 경우 영향을 받는다:

  1. 샌드박스 환경을 포함해 원격 사용자 콘텐츠를 임베드하는 경우
  2. XSS 취약점이 있는 사용자 입력을 허용하는 경우

상세 설명

iframe 내부에서 사용자 코드가 실행되거나 iframe을 생성할 수 있는 경우 영향을 받는다. XSS 취약점의 가능성을 고려할 때 대부분의 애플리케이션이 이 경우에 취약하다고 볼 수 있다.

또한 nativeWindowOpen: true 또는 sandbox: true 옵션을 사용해 윈도우를 여는 경우에도 영향을 받는다. 이 취약점 역시 애플리케이션에 XSS 취약점이 존재해야 하지만, 해당 옵션을 사용한다면 아래의 완화 조치 중 하나를 적용해야 한다.

취약점 완화 방법

이 취약점을 해결한 새로운 Electron 버전을 출시했다: 3.0.0-beta.7, 2.0.8, 1.8.8, 그리고 1.7.16. 모든 Electron 개발자가 가능한 한 빨리 최신 안정 버전으로 앱을 업데이트할 것을 강력히 권장한다.

만약 어떤 이유로 Electron 버전을 업그레이드할 수 없는 경우, 모든 webContents에 대해 new-window 이벤트에 event.preventDefault()를 전역적으로 호출하여 앱을 보호할 수 있다. window.open이나 자식 윈도우를 전혀 사용하지 않는다면, 이 방법 역시 유효한 완화책이 될 수 있다.

mainWindow.webContents.on('new-window', (e) => e.preventDefault());

만약 자식 윈도우가 손자 윈도우를 생성하는 기능에 의존하고 있다면, 다음과 같은 코드를 최상위 윈도우에 적용하는 세 번째 완화 전략을 사용할 수 있다:

const enforceInheritance = (topWebContents) => {
  const handle = (webContents) => {
    webContents.on(
      'new-window',
      (event, url, frameName, disposition, options) => {
        if (!options.webPreferences) {
          options.webPreferences = {};
        }
        Object.assign(
          options.webPreferences,
          topWebContents.getLastWebPreferences(),
        );
        if (options.webContents) {
          handle(options.webContents);
        }
      },
    );
  };
  handle(topWebContents);
};

enforceInheritance(mainWindow.webContents);

이 코드는 최상위 윈도우의 webPreferences가 모든 자식 윈도우에 무한히 깊이까지 수동으로 적용되도록 강제한다.

추가 정보

이 취약점은 Contrast Security의 Matt Austin이 Electron 프로젝트에 책임감 있게 보고했다. Electron 애플리케이션의 보안을 유지하기 위한 모범 사례를 더 알고 싶다면 보안 튜토리얼을 참고한다.

Electron에서 발견한 취약점을 보고하려면 security@electronjs.org로 이메일을 보낸다.

Webview Vulnerability Fix

· 3 min read
ckerr
ckerr

일부 Electron 애플리케이션에서 비활성화된 Node.js 통합을 다시 활성화할 수 있는 취약점이 발견되었다. 이 취약점은 CVE-2018-1000136로 지정되었다.

영향을 받는 애플리케이션

다음 조건을 모두 만족하는 애플리케이션은 영향을 받을 수 있다:

  1. Electron 1.7, 1.8 또는 2.0.0-beta 버전에서 실행된다.
  2. 임의의 원격 코드 실행을 허용한다.
  3. Node.js 통합을 비활성화한다.
  4. webPreferences에서 webviewTag: false를 명시적으로 선언하지 않는다.
  5. nativeWindowOption 옵션을 활성화하지 않는다.
  6. new-window 이벤트를 가로채고, 제공된 옵션 태그를 사용하지 않고 event.newGuest를 수동으로 재정의하지 않는다.

이러한 조건을 모두 충족하는 애플리케이션은 소수에 불과하지만, 예방 차원에서 모든 애플리케이션을 업그레이드할 것을 권장한다.

취약점 완화

이 취약점은 최신 버전인 1.7.13, 1.8.4, 그리고 2.0.0-beta.5에서 수정되었다.

애플리케이션의 Electron 버전을 업그레이드할 수 없는 개발자는 다음 코드를 통해 이 취약점을 완화할 수 있다:

app.on('web-contents-created', (event, win) => {
  win.on(
    'new-window',
    (event, newURL, frameName, disposition, options, additionalFeatures) => {
      if (!options.webPreferences) options.webPreferences = {};
      options.webPreferences.nodeIntegration = false;
      options.webPreferences.nodeIntegrationInWorker = false;
      options.webPreferences.webviewTag = false;
      delete options.webPreferences.preload;
    },
  );
});

// 그리고 웹뷰를 전혀 사용하지 않는다면,
// 다음 코드도 추가할 수 있다
app.on('web-contents-created', (event, win) => {
  win.on('will-attach-webview', (event, webPreferences, params) => {
    event.preventDefault();
  });
});

추가 정보

이 취약점은 Trustwave SpiderLabs의 Brendan Scarvell이 Electron 프로젝트에 책임감 있게 보고했다.

Electron 애플리케이션의 보안을 유지하는 모범 사례에 대해 더 알고 싶다면, 보안 튜토리얼을 참고한다.

Electron에서 발견한 취약점을 보고하려면 security@electronjs.org로 이메일을 보낸다.

릴리스 및 보안 업데이트에 대한 정보를 받으려면 이메일 리스트에 가입한다.

Protocol Handler Vulnerability Fix

· 3 min read
zeke
zeke

Electron 앱의 커스텀 프로토콜 핸들러에서 원격 코드 실행 취약점이 발견되었다. 이 취약점은 CVE 식별자 CVE-2018-1000006로 지정되었다.

영향을 받는 플랫폼

Windows에서 실행되도록 설계된 Electron 앱 중 myapp://과 같은 프로토콜의 기본 핸들러로 등록된 앱은 이 취약점에 노출될 수 있다.

이러한 앱은 프로토콜이 어떻게 등록되었는지와 상관없이 영향을 받을 수 있다. 예를 들어 네이티브 코드를 사용하거나, Windows 레지스트리를 통해, 혹은 Electron의 app.setAsDefaultProtocolClient API를 통해 등록된 경우 모두 해당된다.

macOS와 Linux는 이 이슈에 취약하지 않다.

취약점 완화

이 취약점을 해결한 새로운 버전의 Electron을 출시했다: 1.8.2-beta.5, 1.7.12, 그리고 1.6.17. 모든 Electron 개발자가 즉시 최신 안정 버전으로 앱을 업데이트할 것을 강력히 권장한다.

어떤 이유로든 Electron 버전을 업그레이드할 수 없는 경우, app.setAsDefaultProtocolClient를 호출할 때 마지막 인자로 --를 추가하면 Chromium이 추가 옵션을 파싱하지 못하게 할 수 있다. 이중 대시 --는 커맨드 옵션의 끝을 나타내며, 이후에는 위치 매개변수만 허용된다.

app.setAsDefaultProtocolClient(protocol, process.execPath, [
  '--your-switches-here',
  '--',
]);

자세한 내용은 app.setAsDefaultProtocolClient API를 참고한다.

Electron 앱의 보안을 유지하는 최선의 방법에 대해 더 알고 싶다면, security tutorial을 확인한다.

Electron에서 발견한 취약점을 보고하려면 security@electronjs.org로 이메일을 보낸다.

Chromium RCE Vulnerability Fix

· 2 min read
zeke
zeke

Google Chromium에서 원격 코드 실행 취약점이 발견되었으며, 이는 최신 버전의 Electron 모두에 영향을 미친다. sandbox 옵션이 활성화되었는지 여부와 상관없이, 원격 콘텐츠에 접근하는 모든 Electron 앱은 이 취약점에 노출될 수 있다.

이 취약점을 해결한 두 가지 새로운 버전인 Electron 1.7.81.6.14를 출시했다. 모든 Electron 개발자가 최신 안정 버전으로 앱을 즉시 업데이트할 것을 강력히 권장한다:

npm i electron@latest --save-dev

Electron 앱의 보안을 유지하기 위한 모범 사례에 대해 더 알아보려면 보안 튜토리얼을 참고한다.

Electron에서 발견한 취약점을 보고하려면 security@electronjs.org로 연락한다.