外媒1月24日報(bào)道,流行軟件構(gòu)建框架Electron中存在一個嚴(yán)重的遠(yuǎn)程代碼執(zhí)行( RCE )漏洞(CVE-2018-1000006),可能會影響大量熱門桌面應(yīng)用程序,比如 Skype,Signal,Slack,GitHub Desktop,Twitch 和 WordPress.com 等。 Electron 表示目前只有 Windows 的應(yīng)用程序會受到漏洞影響。
Electron 由 GitHub 團(tuán)隊(duì)開發(fā),是一個基于 Node.js 和 Chromium 引擎的開源框架,允許應(yīng)用程序開發(fā)人員使用 JavaScript、HTML 和 CSS 等 Web 技術(shù)為 Windows,MacOS 和 Linux 等構(gòu)建跨平臺的本地桌面應(yīng)用程序。目前至少有 460 個跨平臺桌面應(yīng)用程序使用了 Electron 框架。
本周一,Electron 團(tuán)隊(duì)稱其已在 Electron 框架中修補(bǔ)了該遠(yuǎn)程代碼執(zhí)行漏洞,并表示該漏洞只影響 Windows 應(yīng)用程序, Mac 和 Linux 的應(yīng)用不在影響范圍內(nèi) 。
據(jù) Electron 團(tuán)隊(duì)介紹, 該遠(yuǎn)程代碼執(zhí)行漏洞影響使用自定義協(xié)議處理程序的電子應(yīng)用程序。若這些基于 Electron 的應(yīng)用程序?qū)⒆陨碜詾樘幚碜远x協(xié)議框架(如 myapp ://),并且無論協(xié)議是怎么注冊的,都很可能會受到漏洞影響。( 例如使用本地代碼、Windows注冊表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注冊)
目前 Electron 開發(fā)者已經(jīng)發(fā)布了兩個新的框架版本來解決這個嚴(yán)重的漏洞,即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某種原因?qū)е聼o法升級 Electron 版本,那么可在調(diào)用 app.setAsDefaultProtocolClient 時將其作為最后一個參數(shù)追加,因?yàn)檫@樣一來,可以有效防止 Chromium 解析更多的選項(xiàng)。