메뉴 바로가기

본문으로 바로가기



정보보호 권고

HOME > 정보센터 > 정보보호 권고

제목
Electron 원격 코드 실행 취약점 업데이트 권고
작성일 18.01.29
파일첨부 A3-AEGIS-20180126-01[MIDDLE] Electron 원격 코드 실행 취약점 권고.pdf

□ 개요
 o Electron
에서 원격 코드 실행이 가능한 취약점 발견

Electron : Node.js Chromium 엔진을 기반으로 하는 오픈 소스 프레임워크로, 각 운영체제에 사용되는 프로그래밍 언어에 대한 지식 없이도 Windows, MacOS, Linux용 응용 프로그램 개발 가능하여 Skype, Signal, Wordpress, Signal 등 다양한 응용 프로그램에서 사용되고 있음
 o
취약한 버전을 사용 중인 개발 담당자 및 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고


□ 내용
 o
자체 프로토콜 처리기(myapp://)에서 발생하는 원격 코드 실행 취약점(CVE-2018-1000006)

□ 영향을 받는 제품 및 버전

o 1.8.2-beta.3 및 이전 버전

o 1.7.10 및 이전 버전

o 1.6.15 및 이전 버전

※ 해당 취약점은 Windows 환경에서만 발생되며, MacOS Linux 기반의 응용 프로그램은 취약점에 영향을 받지 않음


□ 해결 방안
 o
취약점이 해결된 버전으로 업데이트 수행 [1]
  - 1.8.2-beta.4
버전

  - 1.7.11
버전
  - 1.6.16
버전

 [참고사이트]
[1] 
https://github.com/electron/electron/releases
이전글 Cisco ASA 원격코드실행 취약점 보안 업데이트 권고
다음글 Apple(tvOS, iTunes, iCloud, Safari, macOS High Sierra, iOS, watchOS) 보안 업데이트 권고