Plattform
nodejs
Komponente
electron
Behoben in
39.8.2
40.0.1
41.0.1
CVE-2026-34774 is a use-after-free vulnerability affecting Electron applications that utilize offscreen rendering and permit child windows via the window.open() method. This flaw can lead to a crash or memory corruption if the parent offscreen WebContents is destroyed while a child window remains open. Applications using Electron versions up to 39.8.1 are potentially affected. A workaround is to deny child window creation.
CVE-2026-34774 betrifft Electron-Anwendungen, die Offscreen-Rendering verwenden und Kindfenster über window.open() öffnen. Vor Versionen 39.8.1, 40.7.0 und 41.0.0 kann es passieren, dass, wenn das übergeordnete Offscreen-WebContents zerstört wird, während ein Kindfenster noch geöffnet ist, nachfolgende Paint-Frames im Kind auf freigegebenen Speicher zugreifen, was zu einem Absturz oder einer Speicherbeschädigung führen kann. Dieses Problem betrifft speziell Anwendungen, die Offscreen-Rendering und die window.open()-Funktionalität explizit verwenden. Die CVSS-Schwere ist 8.1, was eine Schweregrad-Hoch-Risiko-Verwundbarkeit anzeigt. Die Art der Speicherbeschädigung kann dazu führen, dass die Anwendung unvorhersehbar arbeitet oder abstürzt.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, den JavaScript-Code zu steuern, der innerhalb der anfälligen Electron-Anwendung ausgeführt wird. Dies könnte durch bösartige Code-Injektion erreicht werden, oder wenn die Anwendung Inhalte aus nicht vertrauenswürdigen Quellen lädt. Sobald der Angreifer die Kontrolle über den Code hat, kann er den Fensterlebenszyklus manipulieren, um den Zugriff auf freigegebenen Speicher auszulösen. Aufgrund der Art des Offscreen-Renderings kann die Ausnutzung komplex sein und von der spezifischen Anwendungsarchitektur abhängen. Das Fehlen von KEV (Knowledge Enhanced Vulnerability) deutet darauf hin, dass es keine öffentlichen detaillierten Informationen über die tatsächliche Ausnutzung dieser Schwachstelle gibt.
Exploit-Status
EPSS
0.06% (18% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-34774 ist das Upgrade auf Electron-Version 39.8.1 oder höher, 40.7.0 oder höher oder 41.0.0 oder höher. Diese Versionen enthalten Korrekturen, die den Zugriff auf freigegebenen Speicher verhindern. Entwickler werden dringend gebeten, ihre Electron-Anwendungen so schnell wie möglich zu aktualisieren, um dieses Risiko zu mindern. Darüber hinaus wird empfohlen, den Code zu überprüfen, um die unnötige Verwendung von Offscreen-Rendering und Kindfenstern, die mit window.open() geöffnet wurden, zu identifizieren und zu entfernen, um die Angriffsfläche zu verringern. Gründliche Tests nach dem Upgrade sind entscheidend, um die Stabilität der Anwendung zu gewährleisten.
Actualice a la versión 39.8.1, 40.7.0 o 41.0.0 de Electron para mitigar la vulnerabilidad de uso tras la liberación. Asegúrese de que las aplicaciones no utilicen offscreen rendering (webPreferences.offscreen: true) o que el manejo de ventanas secundarias esté configurado correctamente para evitar la apertura de ventanas secundarias no deseadas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Nein, sie betrifft nur Anwendungen, die Offscreen-Rendering und die window.open()-Funktion verwenden.
Wenn Sie Ihre Anwendung nicht sofort aktualisieren können, sollten Sie vorübergehende Maßnahmen zur Risikominderung ergreifen, z. B. die Validierung von Eingaben und die Beschränkung des Speicherzugriffs.
Überprüfen Sie die Version von Electron, die Sie verwenden. Wenn sie vor 39.8.1, 40.7.0 oder 41.0.0 liegt, ist Ihre Anwendung anfällig.
Es ist eine Technik, die es ermöglicht, Webinhalte auf einer Oberfläche zu rendern, die getrennt von dem Hauptfenster liegt, was in einigen Fällen die Leistung verbessern kann.
Obwohl es keine spezifischen automatisierten Tools gibt, kann eine manuelle Code-Überprüfung auf offscreen und window.open() helfen, die Verwendung zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.