Electron 框架現嚴重 RCE 漏洞影響 Windows 多個應用程序
外媒 1 月 24 日報道,流行軟件構建框架 Electron 中存在一個嚴重的遠程代碼執行( RCE )漏洞(CVE-2018-1000006),可能會影響大量熱門桌面應用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron 表示目前只有 Windows 的應用程序會受到漏洞影響。
Electron 由 GitHub 團隊開發,是一個基于 Node.js 和 Chromium 引擎的開源框架,允許應用程序開發人員使用 JavaScript、HTML 和 CSS 等 Web 技術為 Windows,MacOS 和 Linux 等構建跨平臺的本地桌面應用程序。目前至少有 460 個跨平臺桌面應用程序使用了 Electron 框架。
本周一,Electron 團隊稱其已在 Electron 框架中修補了該遠程代碼執行漏洞,并表示該漏洞只影響 Windows 應用程序, Mac 和 Linux 的應用不在影響范圍內 。
據 Electron 團隊介紹, 該遠程代碼執行漏洞影響使用自定義協議處理程序的電子應用程序。若這些基于 Electron 的應用程序將自身注冊為處理自定義協議框架(如 myapp ://),并且無論協議是怎么注冊的,都很可能會受到漏洞影響。( 例如使用本地代碼、Windows注冊表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注冊)
目前 Electron 開發者已經發布了兩個新的框架版本來解決這個嚴重的漏洞,即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某種原因導致無法升級 Electron 版本,那么可在調用 app.setAsDefaultProtocolClient 時將其作為最后一個參數追加,因為這樣一來,可以有效防止 Chromium 解析更多的選項。
來源:知道創宇
