Уязвимость снимка кучи V8 позволяет создавать бэкдоры в приложениях Electron
Исследователи Trail of Bits обнаружили критическую уязвимость целостности (CVE-2025-55305) в приложениях на Electron. При подделке файлов дампов кучи V8 злоумышленники могут внедрять постоянные backdoor в подписанные приложения, такие как Signal, Slack и 1Password, не вызывая проверки подписи кода. Эта уязвимость эксплуатирует отключённые защитные механизмы Electron — EnableEmbeddedAsarIntegrityValidation и OnlyLoadAppFromAsar, которые игнорируют дампы кучи. Демонстрационные примеры изменяют встроенные JavaScript-функции (например, Array.isArray) для выполнения вредоносного кода в изолятах V8. Поскольку многие приложения Electron и на базе Chromium установлены в директории с правами записи пользователя, локальные злоумышленники с доступом к файлам могут тайно внедрять backdoor. Разработчикам рекомендуется включить проверку целостности дампов кучи или применить более строгие системные ограничения. Быстрое исправление от команд Electron, Signal и Slack подчёркивает серьёзность рисков цепочки поставок в настольных приложениях.
Neutral
Эта уязвимость представляет значительные риски для безопасности настольных приложений, но не оказывает непосредственного влияния на протоколы криптовалют или торговые платформы. Хотя трейдеры часто используют инструменты на базе Electron, такие как Signal или Slack, эксплуатация уязвимости локальна и требует доступа к файловой системе, что ограничивает ее широкий рыночный эффект. Исторически исправления безопасности для настольных приложений не влияли на цены активов и объемы торгов. Обновление уязвимых клиентов должно снизить риски, не изменяя рыночную динамику в краткосрочной и долгосрочной перспективе.