خلاصه: یک آسیبپذیری بحرانی، برنامههای ویندوزی ساختهشده با فریمورک Electron JS را تحت تاثیر قرار میدهد. Electron یک فریمورک متنباز است که مبتنی بر Node.js و Chromium Engine بوده و به توسعهدهندگان برنامهها امکان ساخت یک برنامهی دسکتاپ cross-platform برای ویندوز، لینوکس و مک را میدهد. لازم به ذکر است که کاربران نهایی نمیتوانند کاری برای رفع این آسیبپذیری انجام دهند و بنابراین توسعهدهندگان باید فریمورک خود را فورا آپگرید کنند.
اخیرا یک آسیبپذیری اجرای کد از راه دور در Electron گزارش شده است. Electron یک فریمورک محبوب برای برنامههای وبی است که به هزاران برنامهی دسکتاپ پرکاربرد ازجمله اسکایپ، Signal و وردپرس قدرت میبخشد.
Electron یک فریمورک متنباز است که مبتنی بر Node.js و Chromium Engine بوده و به توسعهدهندگان برنامهها امکان ساخت یک برنامهی دسکتاپ چندپلتفرمی برای ویندوز، لینوکس و مک را میدهد. توسعهدهندگان این کار را میتوانند بدون هیچ دانشی در رابطه با زبانهای برنامهنویسی استفاده شده در پلتفرمها انجام دهند.
این آسیبپذیری با شناسهی CVE-2018-1000006 ردیابی میشود و فقط آن برنامههایی را که بر روی ویندوز اجرا میشوند و خودشان را بهعنوان هندلر پیشفرض برای پروتکلهایی مانند myapp:// رجیستر میکنند را تحت تاثیر قرار میدهند.
تیم electron تایید کرده است که اپلیکیشنهای طراحی شده برای مک و لینوکس آسیبپذیر نیستند. توسعهدهندگان electron دو نسخهی جدید از فریمورکشان یعنی ۱.۸.۲-beta.4 و ۱.۷.۱۱ و ۱.۶.۱۶ را برای رفع این دو آسیبپذیری بحرانی منتشر کردند.
کاربران نهایی نمیتوانند کاری برای رفع این آسیبپذیری انجام دهند، بهجای آن توسعهدهندگانی که از فریمورک Electron JS استفاده میکنند باید برنامههایشان را برای محافظت از کاربرانشان فورا آپگرید کنند.
هنوز جزئیات دقیق در مورد آسیبپذیری اجرای کد از راه دور افشا نشده است، همچنین بهدلایل امنیتی نام برنامههای آسیبپذیر نیز افشا نشده است.
