Electron JS框架存在严重RCE漏洞 Github等App受影响

阅读量215430

发布时间 : 2018-01-25 14:57:20

x
译文声明

本文是翻译文章,文章原作者 bleepingcomputer,文章来源:bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/software-framework-flaw-affects-apps-from-skype-signal-slack-twitch-others/

译文仅供参考,具体内容表达以及含义原文为准。

非常流行的软件构建框架 Electron 中存在一个严重的远程代码执行漏洞,可能影响大量热门桌面App,如微软 (Skype、Visual Studio Code)、Brave (浏览器)、GitHub (Atom Editor)、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost 等等。
Electron 框架是 GitHub 团队在2013年开发的,旨在帮助开发 Atom 编辑器。由于它能让 App 开发人员通过简单的 Web 技术如 JavaScript (Node.js)、HTML 和 CSS 创建跨操作系统应用,因此自诞生以来一直备受热捧。
正因如此,大量产品甚至是加密类 App 比如 Signal 等等的加密通讯应用、微软 Skype 客户端以及一些网络服务的桌面应用如 Twitch、Slack、Basecamp 和 WordPress.com 都在使用 Electron。

某些基于 Electron 的 App 易受严重的 RCE 漏洞影响

本周一,Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。该漏洞仅影响 Windows 应用,而Mac 或 Linux 版本的 App 不受影响。
Electron 团队表示,如果基于Electron 的 App 将自身注册为处理自定义协议框架如 mayapp:// 的默认 App,那么它们易受漏洞影响,将导致攻击者在受感染系统上远程执行恶意代码。
这个远程代码执行漏洞存在于 Electron 框架的 app.setAsDefaultProtocolClient API 中,周一在Electron 版本 1.8.2-beta.4、1.7.11 和 1.6.16 中已予以修复。
开发人员也已经为尚无法更新至最新版本的 App 开发人员提供了一个快速缓解措施,提供了临时修复方案,阻止攻击者利用该漏洞,不过安全专家认为攻击者很快就会找到相应的攻击对策。
微软的 Windows Defender 也可帮助检测系统是否遭该漏洞的攻击。
App 开发人员最应该将 Electron 修复方案集成到自己的 App 中。其次,用户需要将最新补丁应用到此处列表中提到的 App 中。虽说并非所有的这些 app 都将自己注册为默认协议处理器(因此它们并不易受影响),但最好及时更新app。
本文翻译自bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66