Electron JS 框架存在严重的 RCE 漏洞 GitHub 等热门 app 受影响
翻译:360代码卫士团队
非常流行的软件构建框架 Electron 中存在一个严重的远程代码执行漏洞,可能影响大量热门桌面app,如微软 (Skype、Visual Studio Code)、Brave (浏览器)、GitHub (Atom Editor)、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost 等等。
Electron 框架是 GitHub 团队在2013年开发的,旨在帮助开发 Atom 源代码编辑器。由于它能让 app 开发人员通过简单的 web 技术如 JavaScript (Node.js)、HTML 和 CSS 创建跨操作系统应用,因此自诞生以来一直备受热捧。
正因如此,大量产品甚至是加密类 app 像强大如 Signal 的加密通讯应用、微软改良的 Skype 客户端以及所有服务的桌面伴侣应用如 Twitch、Slack、Basecamp 和 WordPress.com 都在使用 Electron。
本周一,Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。该漏洞仅影响 Windows 应用,而Mac 或 Linux 版本的 app 不受影响。
Electron 团队表示,如果基于Electron 的app 将自身注册为处理自定义协议框架如 mayapp:// 的默认 app,那么它们易受影响,将导致攻击者在受感染系统上远程执行恶意代码。
这个远程代码执行漏洞存在于 Electron 框架的 app.setAsDefaultProtocolClient API 中,周一在Electron 版本 1.8.2-beta.4、1.7.11 和 1.6.16 中已予以修复。
开发人员也已经为尚无法更新至最新版本的 app 开发人员提供了一个快速权变措施,提供了临时修复方案,阻止攻击者利用该漏洞,不过安全专家认为攻击者很快就会找到相应的攻击对策。
微软的 Windows Defender 也可帮助检测系统是否遭该漏洞的攻击。
App 开发人员最应该将 Electron 修复方案集成到自己的 app 中。其次,app 用户需要将最新补丁应用到此处列表 (https://electronjs.org/apps) 中提到的 app 中。虽说并非所有的这些 app 都将自己注册为默认协议处理器(因此它们并不易受影响),但最好提高警惕更新app。
关联阅读
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/software-framework-flaw-affects-apps-from-skype-signal-slack-twitch-others/