严重漏洞攻击了使用Electron JS框架构建的流行Windows应用程序

电子—一个流行的web应用程序框架，支持数千个广泛使用的桌面应用程序，包括Skype、Signal、Wordpress和Slack—；允许远程代码执行。

Electron是一个基于Node的开源框架。js和Chromium引擎，允许应用程序开发人员为Windows、macOS和Linux构建跨平台的本机桌面应用程序，而不需要了解每个平台使用的编程语言。

该漏洞的编号为CVE-2018-1000006，仅影响在Microsoft Windows上运行并将自己注册为myapp://等协议的默认处理程序的应用程序。

Electron在周一发布的一份公告中表示：“无论协议如何注册，这些应用都可能受到影响，例如使用本机代码、Windows注册表或Electron的app.setAsDefaultProtocolClient API。”。

Electron团队还确认，为苹果的macOS和Linux设计的应用程序不易受到此问题的攻击，也不包括那些不将自己注册为myapp://等协议的默认处理程序的应用程序（包括Windows）。

Electron开发者已经发布了他们框架的两个新版本，即1.8.2-beta。4、1.7.11和1.6.16来解决这一关键漏洞。

该公司表示：“如果由于某种原因无法升级电子版，可以在调用app.setAsDefaultProtocolClient时附加—；作为最后一个参数，这会阻止Chromium解析更多选项。”。

最终用户对此漏洞无能为力；相反，使用Electron JS框架的开发人员必须立即升级他们的应用程序，以保护他们的用户群。

关于远程代码执行漏洞的许多细节尚未披露，出于安全原因，该公告也没有提到任何易受攻击的应用程序（使自己成为默认的协议处理程序）。

我们将在有关该漏洞的任何详细信息公布后立即向您进行更新。