Une faille des apps electron, à suivre pour les mitigations qu’il faudrait mettre en oeuvre dans les apps desktop…
Duniter et Cesium desktop ne sont pas basés sur Electron mais Nwjs. Est-ce que le problème reste ?
J’avais remarqué ça il y a quelques mois, je ne sais pas si ça cache un problème de sécurité ou pas :
Le problème semble pouvoir toucher les extensions de chrome.
and inject new code into Electron’s JavaScript libraries and built-in Chrome browser extensions.
nwjs étant basé sur le moteur javascript V8 de Chromium, si on peut modifier les extensions Chromium, et qu’il y en a dans nwjs, alors je pense que le problème reste :
Nous ne modifions pas ni n’ajoutons d’extension à ce que je sache. Dans ce cadre, Cesium et Duniter dekstop ne sont donc pas impactés. Cool 
Attention, ils parlent de “built-in…extensions”, c’est à dire des extensions nécessaires au fonctionnement d’Electron. Je ne sais pas si le package nwjs contient des extensions chromium, mais si c’est le cas elles sont vulnérables…
En fait cette vulnérabilité est potentielle pour toutes les applications non signées, qui peuvent être modifiées sans que les créateurs s’en rendent compte. Donc les nôtres aussi…
Cela nous ramène à la discussion de la nécessité de garantir que les builds/packages sont biens issus du code d’origine.
2 Likes