Популярний фреймворк node.js Electron допускає віддалений запуск довільного коду в середовищі Windows. Під загрозою тільки ті додатки, які реєструються як обробники того чи іншого протоколу за замовчуванням.
Серйозна уразливість у фреймворке Electron зачіпає ряд популярних комунікаційних застосувань, у тому числі Skype, в корпоративному середовищі Slack і захищений мессенджер Signal, який називають коханим мессенджером Едварда Сноудена . “Діра” дозволяє хакерам видалено виконувати на зламаному ПК довільний код.
Electron є фреймворк node.js і Chromium. Він дозволяє розробникам використати веб-технології(JavaScript, HTML і CSS) для створення десктопных застосувань. Уразливість, що отримала індекс CVE – 2018-1000006, зачіпає тільки клієнтські застосування в середовищі Windows : під іншими операційними системами її немає.
У описі проблеми від розробників Electron вказується, що уразливими є тільки ті застосування, які реєструються в Windows в якості обробників того або іншого протоколу за умовчанням(наприклад, myapp://); такі застосування будуть уразливі незалежно від того, як вони реєструються – в системному реєстрі Windows або в API app.setAsDefaultProtocolClient самого Electron.
Застосування, які побудовані з використанням Electron, але не реєструються як обробники яких-небудь протоколів(наприклад, клієнт Discord або система управління контентом WordPress), не схильні до цієї уразливості.
Розробники Slack вже заявили, що у версії 3.0.3 і вище вразливість відсутня, і закликали всіх користувачів оновитися як можна швидше.
У Microsoft відмітили, що в останній на даний момент версії Skype цієї уразливості вже немає. У вівторок розробники Electron випустили нову версію свого ПЗ, в якому виправлена вказана помилка. Усім розробникам застосувань, які використовують Electron, рекомендується оновитися якнайскоріше.
На офіційних ресурсах розробників Signal згадки уразливості відсутні.
Джерело: c.news
