非常流行的軟體構建框架 Electron 中存在一個嚴重的遠端代碼執行漏洞, 可能影響大量熱門桌面App, 如微軟 (Skype、Visual Studio Code)、Brave (流覽器)、GitHub (Atom Editor)、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost 等等。
Electron 框架是 GitHub 團隊在2013年開發的,
正因如此, 大量產品甚至是加密類 App 比如 Signal 等等的加密通訊應用、微軟 Skype 用戶端以及一些網路服務的桌面應用如 Twitch、Slack、Basecamp 和 WordPress.com 都在使用 Electron。
某些基於 Electron 的 App 易受嚴重的 RCE 漏洞影響
本週一, Electron 團隊表示已發佈補丁修復了該框架中的一個遠端代碼執行漏洞。 該漏洞僅影響 Windows 應用, 而Mac 或 Linux 版本的 App 不受影響。
Electron 團隊表示, 如果基於Electron 的 App 將自身註冊為處理自訂協議框架如 mayapp:// 的默認 App, 那麼它們易受漏洞影響, 將導致攻擊者在受感染系統上遠端執行惡意程式碼。
這個遠端代碼執行漏洞存在於 Electron 框架的 app.setAsDefaultProtocolClient API 中, 週一在Electron 版本 1.8.2-beta.4、1.7.11 和 1.6.16 中已予以修復。
開發人員也已經為尚無法更新至最新版本的 App 開發人員提供了一個快速緩解措施, 提供了臨時修復方案, 阻止攻擊者利用該漏洞, 不過安全專家認為攻擊者很快就會找到相應的攻擊對策。
微軟的 Windows Defender 也可説明檢測系統是否遭該漏洞的攻擊。
App 開發人員最應該將 Electron 修復方案集成到自己的 App 中。 其次, 使用者需要將最新補丁應用到此處列表中提到的 App 中。 雖說並非所有的這些 app 都將自己註冊為預設協議處理器(因此它們並不易受影響), 但最好及時更新app。
登錄安全客 - 有思想的安全新媒體www.anquanke.com/, 或下載安全客APP來獲取更多最新資訊吧~