У Skype, Slack та месенджері Signal знайшлася однакова вразливість.
«Дірка» у фреймворку
Серйозна вразливість у фреймворку Electron зачіпає низку найпопулярніших комунікаційних додатків, у тому числі Skype, у корпоративному середовищі Slack та захищений месенджер Signal, який називають улюбленим месенджером Едварда Сноудена (Edward Snowden). "Дірка" дозволяє хакерам віддалено виконувати на зламаному ПК довільний код.
Electron є фреймворком node.js і Chromium. Він дозволяє розробникам використовувати веб-технології (JavaScript, HTML та CSS) для створення десктопних програм. Вразливість, що отримала індекс CVE-2018-1000006, зачіпає лише клієнтські програми у середовищі Windows: під іншими операційними системами її немає.
В описі проблеми від розробників Electron вказується, що вразливими є лише ті програми, які реєструються у Windows як обробники того чи іншого протоколу за промовчанням (наприклад, myapp://); такі програми будуть уразливі незалежно від того, як вони реєструються - у системному реєстрі Windows або в API app.setAsDefaultProtocolClient самого Electron.
Програми, які побудовані з використанням Electron, але не реєструються як обробники будь-яких протоколів (наприклад, клієнт Discord або система управління контентом WordPress), не схильні до цієї вразливості.
Виправлення вразливості
Розробники Slack вже заявили, що у версії 3.0.3 і вище вразливість відсутня, і закликали всіх користувачів оновитися як можна швидше.
У Microsoft зазначили, що в останній наразі версії Skype цієї вразливості вже немає. У вівторок розробники Electron випустили нову версію свого програмного забезпечення, в якому виправлена вказана помилка. Всім розробникам програм, які використовують Electron, рекомендується оновитися якнайшвидше.
На офіційних ресурсах розробників Signal згадки про вразливість відсутні.
Уразливості в популярних фреймворках - це завжди набагато більша проблема, ніж аналогічні проблеми в користувальницькому програмному забезпеченні, вже в силу масштабів охоплення. У випадку з Electron проблему вдалося вирішити досить швидко, хоча, зрештою, все залежить від того, як швидко пройде оновлення до актуальних версій.