Electron已釋出新版本修補漏洞。

圖片來源: 

Electron

開源框架Electron在本周修補了編號為CVE-2018-1000006的安全漏洞,該漏洞允許駭客執行遠端程式攻擊,可能波及各種採用Electron框架的Windows應用程式,涵蓋Skype、Slack及Wordpress等。

Electron為一圖像使用者介面(GUI)框架,可利用Node.js與Chromium等原本運用在網路應用程式中的元件來打造桌面GUI應用。

Electron團隊表示,採用Electron框架並使用客製化協定處理器的應用程式就會受到該漏洞的影響,但它只波及Windows平台,並未禍延macOS與Linux。

根據該團隊的說明,只要是在Windows上把自己登錄為協定預設處理器的Electron程式都會受到漏洞影響,不管它們是透過程式碼、Windows登錄檔或API執行登錄,將允許駭客自遠端執行任意程式。

現階段坊間有超過400款程式採用Electron,涵蓋Skype、Slack、Wordpress與Signal等,但並不確定有多少程式受到波及,其中的Signal已澄清自己不受影響。

Electron團隊已釋出新版,並呼籲所有的Electron開發者進行更新,也針對無法立即更新的程式提供了暫時解決方案。


Advertisement

更多 iThome相關內容