Создатели фреймворка Electron обнаружили в нем уязвимость, которая позволяет запустить в приложениях удаленное выполнение кода.

Под угрозой оказались Skype, Visual Studio Code, GitHub, интернет-браузер Brave, мессенджеры Signal и Slack, интернет-ресурсы Basecamp, WordPress.com, Twitch и другие программы.

Фреймворк Electron разработала команда GitHub в 2013 году. Он быстро завоевал популярность благодаря возможности создавать кросс-платформенные приложения на базе JavaScript, HTML и CSS. Оценить распространенность Electron можно по списку приложений на официальном сайте.

Обнаруженная уязвимость CVE-2018-1000006 затрагивает программы, которые в Windows указаны для использования по умолчанию. Протокол myapp:// позволяет, например, запускать приложение по клику на интернет-странице. Ошибка открывала возможность удаленного выполнения кода вне зависимости от того, как был зарегистрирован протокол — с помощью кода, реестра Windows или средств API.

Создатели Electron не раскрывают подробностей об уязвимости, но уточняют, что приложения для macOS и Linux остаются в безопасности. Разработчикам, которые работают с Windows, рекомендуется обновить версию фреймворка до 1.8.2-beta.4, 1.7.11 и 1.6.16.

Если это невозможно сделать в ближайшее время, в коде после вызова уязвимого протокола следует прописать завершающий аргумент “–” — это предотвратит дальнейшее исполнение команд.

Компания Microsoft уже сообщила, что последняя версия Skype не подвержена уязвимости.

Ранее старший консультант по безопасности компании IOActive Фернандо Арнабольди (Fernando Arnaboldi) нашел уязвимости сразу в нескольких популярных языках программирования — Perl, PHP, Python, Ruby, JavaScript. В первых четырех случаях злоумышленник мог заставить приложение выполнять команды, в последнем — частично раскрывать содержание исполняемого файла.

В сентябре Microsoft устранила уязвимость своего фреймворка .NET. Брешь позволяла взломщикам удаленно контролировать систему, устанавливать программы и создавать учетные записи с расширенными полномочиями.

Категории: Кибероборона, Уязвимости