Electron 框架现严重 RCE 漏洞影响 Windows 多个应用程序

外媒 1 月 24 日报道，流行软件构建框架 Electron 中存在一个严重的远程代码执行（ RCE ）漏洞（CVE-2018-1000006），可能会影响大量热门桌面应用程序，比如 Skype，Signal，Slack，GitHub Desktop，Twitch 和 WordPress.com 等。 Electron 表示目前只有 Windows 的应用程序会受到漏洞影响。

Electron 由 GitHub 团队开发，是一个基于 Node.js 和 Chromium 引擎的开源框架，允许应用程序开发人员使用 JavaScript、HTML 和 CSS 等 Web 技术为 Windows，MacOS 和 Linux 等构建跨平台的本地桌面应用程序。目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架。

本周一，Electron 团队称其已在 Electron 框架中修补了该远程代码执行漏洞，并表示该漏洞只影响 Windows 应用程序， Mac 和 Linux 的应用不在影响范围内 。

据 Electron 团队介绍， 该远程代码执行漏洞影响使用自定义协议处理程序的电子应用程序。若这些基于 Electron 的应用程序将自身注册为处理自定义协议框架（如 myapp ：//），并且无论协议是怎么注册的，都很可能会受到漏洞影响。（ 例如使用本地代码、Windows注册表、Electron 框架的app.setAsDefaultProtocolClient API 等方式注册）

目前 Electron 开发者已经发布了两个新的框架版本来解决这个严重的漏洞，即 1.8.2-beta.4,1.7.11 和 1.6.16。如果由于某种原因导致无法升级 Electron 版本，那么可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加，因为这样一来，可以有效防止 Chromium 解析更多的选项。

来源：知道创宇