Electron框架现严重RCE漏洞影响Windows多个应用程序

2018-01-26 15:28 标签: RCE漏洞,网络安全

  外媒1月24日报道,流行软件构建框架Electron中存在一个严重的远程代码执行(RCE)漏洞(CVE-2018-1000006),可能会影响大量热门桌面应用程序,比如Skype,Signal,Slack,Git Hub Desktop,Twitch和WordPress.com等。Electron表示目前只有Windows的应用程序会受到漏洞影响。

  Electron由GitHub团队开发,是一个基于Node.js和Chromium引擎的开源框架,允许应用程序开发人员使用JavaScript、HTML和CSS等Web技术为Windows,MacOS和Linux等构建跨平台的本地桌面应用程序。目前至少有460个跨平台桌面应用程序使用了Electron框架。

Electron框架现严重RCE漏洞影响Windows多个应用程序

  本周一,Electron团队称其已在Electron框架中修补了该远程代码执行漏洞,并表示该漏洞只影响Windows应用程序,Mac和Linux的应用不在影响范围内。

  据Electron团队介绍,该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于Electron的应用程序将自身注册为处理自定义协议框架(如myapp://),并且无论协议是怎么注册的,都很可能会受到漏洞影响。(例如使用本地代码、Windows注册表、Electron框架的app.set As Default Protocol ClientAPI等方式注册)

  目前Electron开发者已经发布了两个新的框架版本来解决这个严重的漏洞,即1.8.2-beta.4,1.7.11和1.6.16。如果由于某种原因导致无法升级Electron版本,那么可在调用app.set As Default Protocol Client时将其作为最后一个参数追加,因为这样一来,可以有效防止Chromium解析更多的选项。

  消息来源:SecurityAffairs,HackerNews.cc编译整理,封面来源于网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us