Electron框架现严重RCE漏洞影响Windows多个应用程序

      外媒 1 月 24 日报道，流行软件构建框架 Electron 中存在一个严重的远程代码执行（ RCE ）漏洞（CVE-2018-1000006），可能会影响大量热门桌面应用程序，比如 Skype，Signal，Slack，GitHub Desktop，Twitch 和 WordPress.com 等。 Electron  表示目前只有 Windows 的应用程序会受到漏洞影响。

Electron 由 GitHub 团队开发，是一个基于 Node.js 和 Chromium 引擎的开源框架，允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows，MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。

      本周一，Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞，并表示该漏洞只影响 Windows 应用程序， Mac 和 Linux 的应用不在影响范围内 。

      据 Electron 团队介绍， 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架（如 myapp ：//），并且无论协议是怎么注册的，都很可能会受到漏洞影响。（ 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册）

      目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞，即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本，那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加，因为这样一来，可以有效防止 Chromium 解析更多的选项。

消息来源：Security Affairs

转自 HackerNews.cc

标签： linux 代码 开发者 漏洞

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。