Electron 軟體框架漏洞影響眾多熱門應用：Skype、Signal、Slack、Twitch……

一個廣受歡迎的軟體構建框架近日爆出一個漏洞，它可能影響諸多公司的大量熱門桌面應用程序，包括微軟（Skype和Visual Studio Code）、Brave（瀏覽器）、GitHub（Atom編輯器）、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost及其他。

這個漏洞影響的是Electron，GitHub團隊開發的這種軟體框架用於協助Atom源代碼編輯器的開發。

自2013年問世以來，這種框架大受歡迎，原因在於它讓應用程序開發人員可以使用JavaScript（Node.js）、HTML和CSS等基本的Web技術，創建跨操作系統的應用程序。

正因為如此，Electron已經被大量的產品所使用，甚至用於處理繁重任務的應用程序，比如加密即時消息傳遞巨頭Signal的同名服務、微軟經過改動的Skype客戶軟體，以及面向Twitch、Slack、Basecamp和WordPress.com等眾多服務的各種桌面配套應用程序。

一些基於Electron的應用程序很容易受到嚴重的RCE漏洞的影響

周一，Electron團隊表示已給Electron框架中的遠程代碼執行漏洞打上了補丁。該漏洞隻影響Windows應用程序，不影響Mac或Linux應用程序。

Electron的開發人員稱，一些Electron應用程序號稱是處理自定義協議格式（比如myapp://）的默認應用程序，它們岌岌可危，讓攻擊者得以在受影響的系統上遠程執行惡意代碼。

這個漏洞位於Electron框架的app.setAsDefaultProtocolClient API中，周一已打上了補丁：Electron團隊發布了這個軟體構建框架的1.8.2-beta.4、1.7.11和1.6.16版本。

開發人員還為目前無法將應用程序更新到新的Electron框架代碼的應用程序開發人員提供了一種簡易的變通方法。

這個變通方法就是打上臨時修補程序，防止攻擊者鑽這個漏洞的空子，不過專家們預計攻擊者很快就能找到對應的規避方法。

微軟也增添了支持這項服務的功能：檢測企圖利用受Windows Defender保護的系統上這個漏洞的活動。

應用程序開發人員是最先需要行動起來，將Electron修復程序加入到應用程序中的群體。其次，應用程序用戶需要針對此處（https://electronjs.org/apps）列出的任何應用程序打上最新的補丁。並不是所有這些應用程序都號稱是默認的協議處理程序（因此它們並非岌岌可危），但最好還是謹慎為妙，儘快更新應用程序。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！