Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34770 describes a use-after-free vulnerability affecting applications using the powerMonitor module in Electron. This flaw can lead to crashes or memory corruption due to dangling references after the native PowerMonitor object is garbage-collected. All apps accessing powerMonitor events are potentially affected, with versions up to and including 38.8.6 being vulnerable. Currently, there is no official patch available to address this issue.
CVE-2026-34770 in Electron betrifft Versionen vor 38.8.6, 39.8.1, 40.8.0 und 41.0.0-beta.8 und stellt eine 'use-after-free'-Schwachstelle dar, wenn das powerMonitor-Modul verwendet wird. Dies liegt daran, dass, nachdem das native PowerMonitor-Objekt vom Garbage Collector freigegeben wurde, zugehörige Betriebssystemressourcen (ein Nachrichtenfenster unter Windows, ein Shutdown-Handler unter macOS) hängenbleibende Referenzen behalten. Ein nachfolgender Sitzungswechsel (Windows) oder ein System-Shutdown (macOS) kann zu unvorhersehbarem Verhalten führen, wodurch ein Angreifer möglicherweise willkürlichen Code ausführen oder einen Denial-of-Service-Zustand verursachen kann. Die Schwere wird mit CVSS 7.0 bewertet, was ein moderates Risiko anzeigt.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, ein Sitzungswechselereignis (unter Windows) oder ein System-Shutdown (unter macOS) auszulösen, nachdem das PowerMonitor-Objekt vom Garbage Collector freigegeben wurde. Dies könnte durch Manipulation des Betriebssystems oder durch Ausführen von bösartigem Code innerhalb der Electron-Anwendung erreicht werden. Der Schwierigkeitsgrad der Ausnutzung hängt von der Fähigkeit des Angreifers ab, den Systemereignisfluss zu kontrollieren. Obwohl die Ausnutzung komplex sein kann, rechtfertigt der potenzielle Einfluss (Ausführung von willkürlichem Code) die Anwendung der Korrektur.
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Electron-Version 38.8.6 oder höher, 39.8.1 oder höher, 40.8.0 oder höher oder 41.0.0-beta.8 oder höher zu aktualisieren. Diese Versionen enthalten Korrekturen, die die hängenbleibenden Referenzen eliminieren und die Verwendung nach der Freigabe verhindern. Entwickler, die Electron verwenden, werden dringend gebeten, ihre Anwendungen so schnell wie möglich zu aktualisieren, um dieses Risiko zu mindern. Überprüfen Sie außerdem Ihren Code, um sicherzustellen, dass das powerMonitor-Modul sicher verwendet wird und keine unnötigen Referenzen erstellt werden. Das Anwenden von Sicherheitspatches ist eine wesentliche Praxis, um die Sicherheit von Electron-Anwendungen zu gewährleisten.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8. Esta actualización aborda el problema de uso posterior a la liberación al gestionar correctamente los recursos del sistema operativo después de que se recolecten mediante el recolector de basura.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es ist ein Fehler, der auftritt, wenn ein Programm versucht, auf Speicher zuzugreifen, der bereits freigegeben wurde, was zu unvorhersehbarem Verhalten oder einer Sicherheitslücke führen kann.
Es ist ein Electron-Modul, das es Anwendungen ermöglicht, System-Energieereignisse wie Batterieänderungen oder System-Shutdown zu überwachen und darauf zu reagieren.
Sie können die Electron-Version überprüfen, indem Sie electron --version in Ihrem Terminal ausführen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie vorübergehende Maßnahmen zur Risikominderung in Betracht ziehen, z. B. die Verwendung des powerMonitor-Moduls zu beschränken oder zusätzliche Prüfungen zu implementieren, um den Zugriff auf freigegebenen Speicher zu verhindern.
Ja, es gibt statische und dynamische Analyse-Tools, die helfen können, 'use-after-free'-Schwachstellen im Electron-Code zu erkennen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.