UNKNOWNCVE-2026-34776
CVE-2026-34776: electronのヒープ読み取り脆弱性 (CVSS 5.3)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
38.8.6
CVE-2026-34776は、macOSおよびLinuxにおいて、`app.requestSingleInstanceLock()`を呼び出すアプリケーションが、細工されたメッセージの解析時にヒープからの範囲外読み取りを起こす脆弱性です。漏洩したメモリがアプリケーションの`second-instance`イベントハンドラに渡される可能性があります。この問題は、Electronアプリと同じユーザーとして実行されているプロセスに限定されます。バージョン38.8.6, 40.8.1, 41.0.0で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34776とは何ですか?
Electronの`app.requestSingleInstanceLock()`関数における、範囲外ヒープ読み取りの脆弱性です。悪意のあるメッセージを処理する際に、メモリの内容が漏洩する可能性があります。
この脆弱性の影響を受けますか?
`app.requestSingleInstanceLock()`を使用しているmacOSまたはLinuxのElectronアプリケーションを使用している場合、影響を受ける可能性があります。Windowsは影響を受けません。
この脆弱性を修正するにはどうすればよいですか?
Electronをバージョン38.8.6, 40.8.1, 41.0.0以降にアップデートしてください。