Kritik Elektron Güvenlik Açıkları

CVE-2024-46992: Electron ASAR Bütünlük Atlatma Güvenlik Açığı

Genel Bakış

Electron, JavaScript, HTML ve CSS kullanarak çapraz platform masaüstü uygulamaları geliştirmek için kullanılan açık kaynaklı bir çerçevedir. Electron’un 30.0.0-alpha.1 ile 30.0.5 öncesi ve 31.0.0-alpha.1 ile 31.0.0-beta.1 öncesi sürümleri, ASAR bütünlük atlatma açığına sahiptir.

Güvenlik Açığı Detayları

Bu güvenlik açığı yalnızca uygulama embeddedAsarIntegrityValidation ve onlyLoadAppFromAsar güvenlik sigortaları (fuses) etkinleştirildiğinde ortaya çıkar.
Sorun sadece Windows platformunu etkiler; macOS üzerinde bu sigortalar etkin olsa bile etkilenmez.
Saldırganın, uygulamanın çalıştırıldığı dosya sisteminde yazma erişimine sahip olması gerekir.
Bu sayede saldırgan, uygulamanın paketlenmiş dosyası olan ASAR arşivini değiştirerek bütünlük kontrolünü atlatabilir.
Sonuç olarak, uygulama kodu veya kaynakları kötü amaçlı olarak değiştirilebilir.

Etkisi

Bu güvenlik açığı, ilgili sigortalar etkin olan Windows uygulamalarında yüksek risk taşır (CVSS puanı 7.8).
Saldırganın dosya sistemine yazma erişimi olması gerekir, yani genellikle yerel veya ağ tabanlı bir saldırı senaryosu söz konusudur.
Sigortalar etkin olmayan uygulamalar etkilenmez.
Bu açığın herhangi bir geçici çözümü yoktur; sadece Electron’un 30.0.5 veya 31.0.0-beta.1 sürümlerine güncellenmesi gerekir.

Örnek Senaryo

Bir şirket, Windows için Electron tabanlı ve bu güvenlik sigortalarını etkinleştirmiş bir masaüstü uygulaması dağıtıyor. Uygulama, paylaşılan bir ağ sürücüsüne veya yazılabilir bir klasöre kurulmuşsa, saldırgan bu konuma yazma erişimi elde ederek ASAR dosyasını değiştirebilir. Kullanıcı uygulamayı çalıştırdığında, bütünlük kontrolü atlatılır ve kötü amaçlı kod çalıştırılır.

Önerilen Önlemler

Electron’u 30.0.5 veya üzeri sürümlere güncelleyin.
Uygulamaları, saldırganların yazma erişimi olmayan güvenli dosya sistemlerinden başlatın.
Dosya sistemi izinlerini sıkılaştırarak yazma erişimini sınırlandırın.

CVE-2024-46993: Electron NativeImage Fonksiyonlarında Heap Buffer Taşması

Genel Bakış

Electron’un 28.3.2, 29.3.3 ve 30.0.3 öncesi sürümleri, nativeImage.createFromPath() ve nativeImage.createFromBuffer() fonksiyonlarında bir heap buffer overflow (yığın tampon taşması) güvenlik açığı içerir.

Güvenlik Açığı Detayları

Bu fonksiyonlar tarafından çağrılan alt fonksiyonlarda, saldırganın kontrolündeki görüntü yüksekliği, genişliği ve içeriği kullanıldığında yığın tampon taşması oluşabilir.
Bu durum bellek bozulmasına yol açarak, uygulamanın çökmesine veya kötü amaçlı kod çalıştırılmasına neden olabilir.
Güvenlik açığı CWE-122 (Heap-based Buffer Overflow) olarak sınıflandırılmıştır.

Etkisi

Kullanıcıdan gelen veya dış kaynaklı görüntülerin nativeImage fonksiyonları ile işlenmesi durumunda risk oluşur.
Bu açığın şiddeti orta düzeydedir (CVSS 4.4).
Geçici bir çözüm yoktur; Electron sürümünün güncellenmesi gerekir.

Örnek Senaryo

Bir Electron uygulaması, kullanıcıların yüklediği görüntüleri nativeImage.createFromBuffer() ile işler. Kötü niyetli bir saldırgan, yüksekliği, genişliği ve içeriği özel olarak hazırlanmış kötü amaçlı bir görüntü dosyası gönderir. Uygulama bu dosyayı işlerken yığın tampon taşması gerçekleşir ve saldırgan uygulama içinde rastgele kod çalıştırabilir veya uygulamayı çökertir.

Önerilen Önlemler

Electron sürümünü 28.3.2, 29.3.3 veya 30.0.3 ve üzeri sürümlere güncelleyin.
Dışarıdan gelen görüntü verilerini mümkün olduğunca doğrulayın ve temizleyin.
Görüntü işleme fonksiyonlarını yalnızca güvenilir kaynaklardan gelen veriler için kullanın.

Özet Tablosu

CVE ID	Güvenlik Açığı Türü	Etkilenen Sürümler	Etki	Şiddet	Düzeltme Sürümü	Geçici Çözüm
CVE-2024-46992	ASAR Bütünlük Atlatma	30.0.0-alpha.1 - <30.0.5, 31.0.0-alpha.1 - <31.0.0-beta.1	Yazma erişimi varsa uygulama kodu değiştirilebilir	Yüksek (7.8)	30.0.5, 31.0.0-beta.1	Yok
CVE-2024-46993	Heap Buffer Overflow	<28.3.2, <29.3.3, <30.0.3	Kötü amaçlı görüntü ile kod çalıştırma veya çökme	Orta (4.4)	28.3.2, 29.3.3, 30.0.3	Yok

Her iki güvenlik açığı da Electron uygulamalarının güncel tutulmasının ve güvenlik ayarlarının dikkatle yönetilmesinin önemini göstermektedir. Sorularınız veya detaylı yardım talepleriniz için bana her zaman yazabilirsiniz!

Trending

Dell ControlVault3 Ürün Yazılımındaki Kritik Güvenlik Açıkları

Jasmin Ransomware'deki Güvenlik Açıkları

🛡️ CVE-2025 Emlak Yazılımlarında Güvenlik Açıkları

🚨 Apple Cihazlarında Güvenlik Alarmı 🚨

Centreon Web Güvenlik Açıkları: CVE-2024-39841, CVE-2024-33854, CVE-2024-33853, CVE-2024-33852, CVE-2024-32501

IERAE CTF 2025 - GDO Siber Güvenlik Yarışması

Psono-Client'taki Kritik XSS Güvenlik Açığı Bitdefender SecurePass Kullanıcılarını Keyfi Kod Çalıştırmaya Maruz Bırakıyor

Kritik Elektron Güvenlik Açıkları

Kritik Elektron Güvenlik Açıkları

CVE-2024-46992: Electron ASAR Bütünlük Atlatma Güvenlik Açığı

Genel Bakış

Güvenlik Açığı Detayları

Etkisi

Örnek Senaryo

Önerilen Önlemler

CVE-2024-46993: Electron NativeImage Fonksiyonlarında Heap Buffer Taşması

Genel Bakış

Güvenlik Açığı Detayları

Etkisi

Örnek Senaryo

Önerilen Önlemler

Özet Tablosu

Yorum Gönder

İletişim Formu