«Дірка» у фреймворку

Серйозна вразливість у фреймворку Electron зачіпає низку найпопулярніших комунікаційних додатків, у тому числі Skype, у корпоративному середовищі Slack та захищений месенджер Signal, який називають улюбленим месенджером Едварда Сноудена (Edward Snowden). "Дірка" дозволяє хакерам віддалено виконувати на зламаному ПК довільний код.

Electron є фреймворком node.js і Chromium. Він дозволяє розробникам використовувати веб-технології (JavaScript, HTML та CSS) для створення десктопних програм. Вразливість, що отримала індекс CVE-2018-1000006, зачіпає лише клієнтські програми у середовищі Windows: під іншими операційними системами її немає.

В описі проблеми від розробників Electron вказується, що вразливими є лише ті програми, які реєструються у Windows як обробники того чи іншого протоколу за промовчанням (наприклад, myapp://); такі програми будуть уразливі незалежно від того, як вони реєструються - у системному реєстрі Windows або в API app.setAsDefaultProtocolClient самого Electron.

Програми, які побудовані з використанням Electron, але не реєструються як обробники будь-яких протоколів (наприклад, клієнт Discord або система управління контентом WordPress), не схильні до цієї вразливості.

Виправлення вразливості

Розробники Slack вже заявили, що у версії 3.0.3 і вище вразливість відсутня, і закликали всіх користувачів оновитися як можна швидше.