В популярном фреймворке Electron от GitHub обнаружена уязвимость, которая позволяет хакерам удаленно исполнять на взломанном устройстве под ОС Windows любой код. Это может затронуть пользователей устаревших версий мессенджеров Skype, Slack, Signal, ПО для управления проектами Basecamp и системы управления сайтами Wordpress.
Фреймворк Electron включает в себя серверную платформу Node.js, а также библиотеку из Chromium. Он позволяет при помощи веб-технологий разрабатывать графические приложения для десктопных операционных систем. Специалисты выявили, что версии GitHub Electron до 1.8.2-beta.3, до 1.7.10 и до 1.6.15. имеют уязвимость в обработчике протокола.
В частности, сообщается, что приложение, запускаемое в Windows 10, 7 или 2008 и регистрирующие пользовательские обработчики протокола, могут быть взломаны для запуска вредоносного кода, если пользователь нажимает на специально созданный URL-адрес. Подобные приложения могут быть затронуты независимо от способа регистрации протокола, например, посредством использования собственного кода, реестра Windows или API app.setAsDefaultProtocolClient от Electron. Этой уязвимости был назначен CVE-идентификатор CVE-2018-1000006.
Уже опубликованы новые версии Electron (1.8.2-beta.4, 1.7.11 и 1.6.16), в которых уязвимость устранена. По этому поводу также высказались представители некоторых компаний, которые используют GitHub Electron.
Разработчики мессенджера Slack сообщили, что уязвимость отсутствует в версиях от 3.0.3, посоветовав пользователям обновиться до актуальной версии. Разработчики Signal отметили, что мессенджер не регистрирует никаких пользовательских обработчиков протоколов и не подвержен этой уязвимости. В Microsoft заявили, что в последней версии Skype проблема также отсутствует.
Твит от Signal