当前位置:安全资讯 >> 全文

Electron JS 框架存在严重的 RCE 漏洞 GitHub 等热门 app 受影响

发布时间:2018-1-25 8:31 标签: Electron,JS 框架,远程代码执行,app
分享到 0

非常流行的软件构建框架 Electron 中存在一个严重的远程代码执行漏洞,可能影响大量热门桌面app,如微软 SkypeVisual Studio Code)、Brave (浏览器)、GitHub (Atom Editor)SignalSlackBasecampWordPress.comTwitchGhost 等等。

Electron 框架是 GitHub 团队在2013年开发的,旨在帮助开发 Atom 源代码编辑器。由于它能让 app 开发人员通过简单的 web 技术如 JavaScript (Node.js)HTML CSS 创建跨操作系统应用,因此自诞生以来一直备受热捧。

正因如此,大量产品甚至是加密类 app 像强大如 Signal 的加密通讯应用、微软改良的 Skype 客户端以及所有服务的桌面伴侣应用如 TwitchSlackBasecamp WordPress.com 都在使用 Electron

某些基于 Electron app 易受严重的 RCE漏洞影响

本周一,Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。该漏洞仅影响 Windows 应用,而Mac Linux 版本的 app 不受影响。

Electron 团队表示,如果基于Electron app 将自身注册为处理自定义协议框架如 mayapp:// 的默认 app,那么它们易受影响,将导致攻击者在受感染系统上远程执行恶意代码。

这个远程代码执行漏洞存在于 Electron 框架的 app.setAsDefaultProtocolClient API 中,周一在Electron 版本 1.8.2-beta.41.7.11 1.6.16 中已予以修复。

开发人员也已经为尚无法更新至最新版本的 app 开发人员提供了一个快速权变措施,提供了临时修复方案,阻止攻击者利用该漏洞,不过安全专家认为攻击者很快就会找到相应的攻击对策。

微软的 Windows Defender 也可帮助检测系统是否遭该漏洞的攻击。

App 开发人员最应该将 Electron 修复方案集成到自己的 app 中。其次,app 用户需要将最新补丁应用到此处列表中提到的 app 中。虽说并非所有的这些 app 都将自己注册为默认协议处理器(因此它们并不易受影响),但最好提高警惕更新app

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/software-framework-flaw-affects-apps-from-skype-signal-slack-twitch-others/
参与讨论,请先 登录 | 注册

用户评论