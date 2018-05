Roma, 14 mag. - Una vulnerabilità in Electron che può consentire l`esecuzione di codice da remoto in determinate circostanze è stata scoperta da un ricercatore di sicurezza di Trustwave. Electron è una piattaforma di sviluppo che consente la creazione di applicazioni desktop multi-piattaforma con tecnologie Web (Html, Css e JavaScript). Questo framework è stato utilizzato per sviluppare centinaia di applicazioni, tra le quali Skype, GitHub Desktop, WaveBox, WhatsApp, Signal, Discord e WordPress.com.

Tale vulnerabilità, riporta il sito del Cert Nazionale, può risultare sfruttabile all`interno di un`applicazione sviluppata con Electron solamente nel caso in cui l`applicazione sia affetta da vulnerabilità di tipo cross-site scripting (XSS) e sia configurata in un modo specifico. In particolare, la vulnerabilità fa sì che l`opzione per l`integrazione con la libreria JavaScript Node.js (nodeIntegration) venga riabilitata forzatamente in alcune applicazioni, consentendo potenzialmente l`esecuzione di comandi arbitrari sul sistema tramite Webview.

La falla è stata risolta dagli sviluppatori di Electron con il rilascio di nuove versioni.

(fonte: Cyber Affairs)