Фреймворк Electron был создан разработчиками GitHub в 2013 году и с тех пор успел полюбиться девелоперам, — в общей сложности фреймворк применяется более чем в 460 кроссплатформенных приложениях, включая Slack, Skype, Signal, GitHub Desktop, Twitch, WordPress и так далее. В работе Electron использует Chromium и Node.js, поддерживает Windows, macOS и Linux, и позволяет разработчикам создавать приложения, используя такие базовые веб-технологии, как JavaScript (Node.js), HTML, CSS.
Обнаруженная в составе фреймворка уязвимость получила идентификатор CVE-2018-1000006 и представляет угрозу только для Windows-приложений, которые применяют кастомные обработчики протоколов. Чтобы уязвимость сработала, приложение должно быть зарегистрировано как обработчик по умолчанию для протокола вида myapp://. При этом неважно, как именно осуществляется регистрация: с использованием реестра Windows, нативного кода, или API Electron app.setAsDefaultProtocolClient. Хотя подробностей о проблеме опубликовано немного, известно, что эксплуатация бреши позволяет удаленно выполнить в уязвимой системе произвольный код.
Баг был устранен на этой неделе, выпущены исправленные версии 1.8.2-beta.4, 1.7.11, а также 1.6.16, уже доступные для скачивания на GitHub.
Компания Microsoft уже сообщила, что последняя версия Skype не подвержена данной критической уязвимости. Пользователям Slack рекомендуется обновить приложение до версии 3.0.3 или выше. Разработчики Signal также сообщили, что их мессенджера баг не касается. Однако точное количество уязвимых приложений и их названия пока не раскрываются, а пользователям советуют проверить актуальность своего ПО.