開源框架 Electron 存在嚴重安全漏洞 Skype等知名應用程序恐受影響

Electron框架中的一個關鍵的RCE漏洞影響了知名的桌面應用程序，包括Skype、Signal、Slack、GitHub Desktop、Twitch和WordPress.com。

Electron是一個node.js、V8和Chromium開源框架，讓開發者使用JavaScript、HTML和CSS等Web技術來開發桌面應用程序。

該框架目前正由GitHub開發，Electron開發團隊發布了版本v1.8.2-beta.4、Electron v1.7.11和Electron v1.6.16來解決這個問題。

Electron團隊在一篇文章中的描述：『一個遠程程序代碼執行漏洞被發現，影響使用自定義協議處理程序的Electron應用程序。此漏洞已經取得CVE編號CVE-2018-1000006。』

『Electron應用程序是設計來在Windows上運作，將自己註冊為協議的默認處理程序，如myapp://，這些程序易受攻擊。

無論協議是如何註冊的，這樣的應用程序都會受到影響。使用原生程序代碼、Windows機碼值或Electron的app.setAsDefaultProtocolClient API。』

目前，超過460個跨平台桌面應用程序使用了Electron框架，但是程序代碼執行漏洞僅影響使用自定義協議處理程序，而MacOS和Linux則不易受此問題影響。

所有三個版本都可以在GitHub上下載。

專家們還提供了避免漏洞利用的解決方法。

Electron解釋：『如果由於某種原因無法升級您的Electron版本，則可以在呼叫app.setAsDefaultProtocolClient時附加"-"作為最後一個參數，從而防止Chromium解析更多選項。兩個"-表示命令選項的結束"，之後只接受位置參數。』

建議Electron開發人員立即更新他們的應用程序。

『我們已經發布了新版本的Electron，包括針對此漏洞的修復程序：

1.8.2-beta.4

1.7.11

1.6.16』

Electron團隊補充：『我們敦促所有Electron開發者立即更新他們的應用程序到最新的穩定版本。』

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！