CVE-2024-39698

Versões do electron-updater anteriores à 6.3.0-alpha.6

O problema diz respeito à rotina de validação de assinatura para aplicativos Electron no Windows, implementada no arquivo packages/electron-updater/src/windowsExecutableCodeSignatureVerifier.ts. Devido ao shell circundante, uma primeira passagem pelo cmd.exe expande qualquer variável de ambiente encontrada na linha de comando acima, criando uma situação em que o verifySignature() pode ser induzido a validar o certificado de um arquivo diferente daquele que acabou de ser baixado. Se a etapa for bem-sucedida, a atualização maliciosa será executada mesmo que sua assinatura seja inválida. Esse ataque pressupõe um manifesto de atualização comprometido, como um servidor comprometido, um ataque Man-in-the-Middle se obtido via HTTP ou Cross-Site Scripting para direcionar o aplicativo a um servidor de atualização malicioso.

Para versões anteriores à 6.3.0-alpha.6, atualize para a versão 6.3.0-alpha.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função verifySignature() ou ao arquivo windowsExecutableCodeSignatureVerifier.ts até que um patch seja aplicado. Evite usar variáveis de ambiente em argumentos de linha de comando para minimizar o risco de exploração.