Electron框架有遠端攻擊漏洞，Skype與Slack恐遭殃

開源框架Electron在本周修補了編號為CVE-2018-1000006的安全漏洞，該漏洞允許駭客執行遠端程式攻擊，可能波及各種採用Electron框架的Windows應用程式，涵蓋Skype、Slack及Wordpress等。

Electron為一圖像使用者介面（GUI）框架，可利用Node.js與Chromium等原本運用在網路應用程式中的元件來打造桌面GUI應用。

Electron團隊表示，採用Electron框架並使用客製化協定處理器的應用程式就會受到該漏洞的影響，但它只波及Windows平台，並未禍延macOS與Linux。

根據該團隊的說明，只要是在Windows上把自己登錄為協定預設處理器的Electron程式都會受到漏洞影響，不管它們是透過程式碼、Windows登錄檔或API執行登錄，將允許駭客自遠端執行任意程式。

現階段坊間有超過400款程式採用Electron，涵蓋Skype、Slack、Wordpress與Signal等，但並不確定有多少程式受到波及，其中的Signal已澄清自己不受影響。

Electron團隊已釋出新版，並呼籲所有的Electron開發者進行更新，也針對無法立即更新的程式提供了暫時解決方案。