Jump to content
Harald Brombach (digi.no)

Flere populære Windows-programmer rammet av samme sårbarhet

Recommended Posts

Feilen ser ut til å være at de har tillatt kommando-linje parametre som blir videresendt til Chromium ukritisk, og en av disse tillater å kjøre eksterne programmer på pc'en, noe ala:

 

electron-app.exe xyz /launch=cmd.exe /C notepad

 

Nå har de "løst" dette med å svareliste de parametrene og opsjonene de ikke støtter, og slik jeg tolker det avslutte prosessen hvis noen av disse blir forsøkt brukt.

Share this post


Link to post

 

Nå har de "løst" dette med å ...

 

Årsaken til at jeg sier "løst" er at slik jeg tolker det (se mer her også: https://www.chromium.org/developers/how-tos/debugging-gpu-related-code) så er feilen at Chromium tillater eksekvering av ekstern kode, og hvis min tolkning er korrekt så bør jo dette være et varsko til mange flere applikasjoner enn Electron-baserte.

Mer et varsko til brukere, at de ikke skal bruke chromium. ?

Share this post


Link to post

"...nyeste versjonen av Skype, som ser ut til å være 7.40.0.151."

Jeg har versjon 12.13.274.0 av Skype.

Hvilken Skype er det egentlig snakk om?

 

Her har jeg nok gått litt i baret, ved å oppgi versjonsnummeret til den vanlige Windows-versjonen av Skype, mens sårbarheten (antagelig) bare gjelder Windows 10-versjonen (fra Microsoft Store). Den førstnevnte har versjonsnummer 7.xx, den sistnevnte 12.xx.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...