Electron框架现严重RCE漏洞影响Windows多个应用程序

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      外媒 1 月 24 日报道,流行软件构建框架 Electron 中存在一个严重的远程代码执行( RCE )漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。

Electron 由 GitHub 团队开发,是一个基于 Node.js 和 Chromium 引擎的开源框架,允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows,MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。

      本周一,Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞,并表示该漏洞只影响 Windows 应用程序, Mac 和 Linux 的应用不在影响范围内 。

      据 Electron 团队介绍, 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架(如 myapp ://),并且无论协议是怎么注册的,都很可能会受到漏洞影响。( 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册)

      目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞,即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本,那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加,因为这样一来,可以有效防止 Chromium 解析更多的选项。

消息来源:Security Affairs

转自 HackerNews.cc

标签: linux 代码 开发者 漏洞

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:思科被曝VPN高危漏洞,工业安全设备、防火墙等多款产品受影响

下一篇:甲骨文Micros POS机存在高危漏洞可获得数据库访问权限