Созданные с помощью Electron приложения уязвимы к удаленному выполнению кода

Проблема затрагивает Windows-приложения, использующие кастомизированные обработчики протоколов.

Разработчикам Windows-приложений рекомендуется проверить, не подвержена ли используемая ими версия фреймворка Electron недавно обнаруженной уязвимости, позволяющей удаленное выполнение кода.

Electron позволяет разработчикам создавать приложения для настольных ОС с использованием web-технологий (JavaScript, HTML и CSS). Фреймворк включает в себя Node.js для работы с back-end и библиотеку рендеринга из Chromium. Electron используется в реализациях Skype, Slack, Signal, Basecamp и др. Пользователям Slack рекомендуется обновиться до версии 3.0.3 или выше. Согласно заявлению Microsoft, последнюю версию Skype для Windows проблема не затрагивает.

В настоящее время команда Electron не раскрывает все подробности об уязвимости (CVE-2018-1000006). Однако известно, что она затрагивает приложения для Windows, использующие в фреймворке кастомизированные обработчики протоколов.

«Windows-приложения на базе Electron, регистрирующие себя как дефолтный обработчик протокола, например, myapp://, являются уязвимыми. […] Такие приложения могут быть уязвимы независимо от того, как зарегистрирован протокол – с помощью нативного кода, реестра Windows или app.setAsDefaultProtocolClient API», –говоритсяв уведомлении Electron.

Команда Electron уже выпустила исправленные версии фреймворка – 1.8.2-beta.4, 1.7.11 и 1.6.16. Если установить обновление по каким-либо причинам не представляется возможным, разработчики могут добавить -- в качестве последнего аргумента при вызове app.setAsDefaultProtocolClient, что предотвратит анализ Chromium дальнейших опций. Проблема не затрагивает macOS и Linux.