非常流行的软件构建框架 Electron 中存在一个严重的远程代码执行漏洞,可能影响大量热门桌面App,如微软 (Skype、Visual Studio Code)、Brave (浏览器)、GitHub (Atom Editor)、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost 等等。
Electron 框架是 GitHub 团队在2013年开发的,旨在帮助开发 Atom 编辑器。由于它能让 App 开发人员通过简单的 Web 技术如 JavaScript (Node.js)、HTML 和 CSS 创建跨操作系统应用,因此自诞生以来一直备受热捧。
正因如此,大量产品甚至是加密类 App 比如 Signal 等等的加密通讯应用、微软 Skype 客户端以及一些网络服务的桌面应用如 Twitch、Slack、Basecamp 和 WordPress.com 都在使用 Electron。
某些基于 Electron 的 App 易受严重的 RCE 漏洞影响
本周一,Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。该漏洞仅影响 Windows 应用,而Mac 或 Linux 版本的 App 不受影响。
Electron 团队表示,如果基于Electron 的 App 将自身注册为处理自定义协议框架如 mayapp:// 的默认 App,那么它们易受漏洞影响,将导致攻击者在受感染系统上远程执行恶意代码。
这个远程代码执行漏洞存在于 Electron 框架的 app.setAsDefaultProtocolClient API 中,周一在Electron 版本 1.8.2-beta.4、1.7.11 和 1.6.16 中已予以修复。
开发人员也已经为尚无法更新至最新版本的 App 开发人员提供了一个快速缓解措施,提供了临时修复方案,阻止攻击者利用该漏洞,不过安全专家认为攻击者很快就会找到相应的攻击对策。
微软的 Windows Defender 也可帮助检测系统是否遭该漏洞的攻击。
App 开发人员最应该将 Electron 修复方案集成到自己的 App 中。其次,用户需要将最新补丁应用到此处列表中提到的 App 中。虽说并非所有的这些 app 都将自己注册为默认协议处理器(因此它们并不易受影响),但最好及时更新app。