Saldırganların, yerleşik kod bütünlüğü kontrollerinden kaçınarak Signal, 1Password, Slack ve Google Chrome dahil olmak üzere yaygın olarak kullanılan masaüstü uygulamalarına kötü amaçlı kod kaymasına izin veren yeni bir güvenlik istismarı keşfedildi.
Elektron CVE-2025-55305 olarak izlenen güvenlik açığı, Web teknolojileri ile platformlar arası masaüstü yazılımı yapmak için popüler bir çerçeve olan Electron’u kullandıklarında krom motoru üzerinde inşa edilen hemen hemen her uygulamayı etkiler.
Bits Trail’de güvenlik araştırmacısı Shadow, elektronun bütünlüğünün nasıl çalıştığını inceledi. Electron, bir uygulamanın JavaScript dosyalarının geliştiricinin tam olarak paketlendiği şeyle eşleştiğini doğrulamak için “sigortalar” sağlar.
Bu sigortalar – alableMbeddedArIntegityValidasyon ve OnlyLoadAppFromasar – Tespit edilmeden hiçbir kod eklenemez veya değiştirilemez.

Ancak, kromdan miras kalan bir performans özelliği olan v8 yığın anlık görüntülerini kapsamazlar, JavaScript durumunu dondurulmuş bir pizzayı çözmek gibi belleğe belleğe hazırlar.
Saldırganlar, imzasız kod eklemek için bu anlık görüntülere müdahale edebilir ve bütünlük kontrolleri bunları görmezden gelir.

Yığın anlık görüntülerini hedefleyerek, bir uygulama kurulum klasörüne yazma erişimi olan bir saldırgan-genellikle %AppData %\ local gibi kullanıcı tarafından tarafından imal edilebilir bir konum veya macOS’ta /uygulamalar /uygulamalar gibi-kod imzalarını kırmaya gerek kalmadan elektron tabanlı uygulamaları geri çekebilir.
Uygulama başladığında, değiştirilmiş anlık görüntü herhangi bir bütünlük kontrolünden önce çalışır ve saldırganın çekirdek JavaScript işlevlerini geçersiz kılmasına izin verir.
Shadow bunu Array.IsArray’ı keyfi kod yürüten bir gadget ile değiştirerek gösterdi. Bir testte, bu işlevi değiştirmek, Slack’in çökmesine neden oldu ve elektronun bütünlük sigortalarına rağmen imzasız anlık görüntü kodunu kanıtladı.
Gölge daha sonra Slack, 1Password ve Sinyal için konsept kanıtı oluşturdu. Slack için yük, sohbet pencerelerine bir keylogger yükledi.
Sinyal ve 1Password için saldırı mesajlar veya tonoz verileri çalabilir. Ekip, kusuru hızlı bir şekilde bir yama yayınlayan Elektron’un bakımcılarına sorumlu bir şekilde bildirdi. 1Password 8.11.8-40 sürümünde sorunu düzeltti. Signal ve Slack de güncellemeler yayınladı.
“Bitlerin Trail of Bitler ile sorumlu açıklama ve 1Password v8.11.8-40’daki kırılganlığı yamaladı. Müşterilerimizin verilerini korumak her zaman en yüksek önceliğimizdir” dedi.
Bu kusur, tüm krom tabanlı yazılımlar için daha geniş bir riski vurgular. Araştırmacı Emilio Lopez, tekniği arka kapı kromuna ve kullanıcı tarafından oluşturulabilir klasörlere yüklenen ilgili tarayıcılara genişletti.
Chrome’un tehdit modeli yerel saldırıları hariç tuttuğundan, bu arka kapılar hala kod imzalama kontrollerini geçerken tespit edilmeyebilir.
Bu saldırılara karşı savunmak için, elektron ve krom tabanlı uygulamaların geliştiricileri, yığın anlık görüntülerinde tam bütünlük kontrollerini etkinleştirmeli veya anlık görüntü dosyalarını salt okunur konumlara taşımalıdır.
Kullanıcıların sinyal, 1Password, Slack ve diğer elektron uygulamalarını gecikmeden en son sürümlere güncellemeleri tavsiye edilir.
Güvenli kod bütünlüğü, saldırganların güvenilir uygulamaları gizli kalıcılık araçlarına dönüştürmesini durdurmak için gizli performans kısayolları da dahil olmak üzere her bileşeni kapsamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.