Electron 软件框架漏洞影响众多热门应用:Skype、Signal、Slack、Twitch......
一个广受欢迎的软件构建框架近日爆出一个漏洞,它可能影响诸多公司的大量热门桌面应用程序,包括微软(Skype和Visual Studio Code)、Brave(浏览器)、GitHub(Atom编辑器)、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost及其他。这个漏洞影响的是Electron,GitHub团队开发的这种软件框架用于协助Atom源代码编辑器的开发。
自2013年问世以来,这种框架大受欢迎,原因在于它让应用程序开发人员可以使用JavaScript(Node.js)、HTML和CSS等基本的Web技术,创建跨操作系统的应用程序。
正因为如此,Electron已经被大量的产品所使用,甚至用于处理繁重任务的应用程序,比如加密即时消息传递巨头Signal的同名服务、微软经过改动的Skype客户软件,以及面向Twitch、Slack、Basecamp和WordPress.com等众多服务的各种桌面配套应用程序。
一些基于Electron的应用程序很容易受到严重的RCE漏洞的影响
周一,Electron团队表示已给Electron框架中的远程代码执行漏洞打上了补丁。该漏洞只影响Windows应用程序,不影响Mac或Linux应用程序。
Electron的开发人员称,一些Electron应用程序号称是处理自定义协议格式(比如myapp: //)的默认应用程序,它们岌岌可危,让攻击者得以在受影响的系统上远程执行恶意代码。这个漏洞位于Electron框架的app.setAsDefaultProtocolClient API中,周一已打上了补丁:Electron团队发布了这个软件构建框架的1.8.2-beta.4、1.7.11和1.6.16版本。
开发人员还为目前无法将应用程序更新到新的Electron框架代码的应用程序开发人员提供了一种简易的变通方法。
这个变通方法就是打上临时修补程序,防止攻击者钻这个漏洞的空子,不过专家们预计攻击者很快就能找到对应的规避方法。
微软也增添了支持这项服务的功能:检测企图利用受Windows Defender保护的系统上这个漏洞的活动。应用程序开发人员是最先需要行动起来,将Electron修复程序加入到应用程序中的群体。其次,应用程序用户需要针对此处(https: //electronjs.org/apps)列出的任何应用程序打上最新的补丁。并不是所有这些应用程序都号称是默认的协议处理程序(因此它们并非岌岌可危),但最好还是谨慎为妙,尽快更新应用程序。