Uma vulnerabilidade de execução de código remoto crítica foi relatada na eletrônica - uma popular estrutura de aplicativos da Web que alimenta milhares de aplicativos de desktop amplamente utilizados, incluindo Skype, Signal, Wordpress e Slack, que permitem a execução remota de código.
O Electron é uma estrutura de código aberto baseada no Node.js e no Chromium Engine e permite que os desenvolvedores de aplicativos criem aplicativos de desktop nativos multiplataforma para Windows, MacOS e Linux, sem conhecimento de linguagens de programação usadas para cada plataforma.
A vulnerabilidade, atribuída como o número CVE-2018-1000006, afeta apenas os aplicativos que são executados no Microsoft Windows e se registra como o manipulador padrão para um protocolo como myapp: //.
"Esses aplicativos podem ser afetados, independentemente de como o protocolo está registrado, por exemplo, usando o código nativo, o registro do Windows ou a API do app.setAsDefaultProtocolClient do elétron", diz Eletron em um aviso publicado na segunda-feira.A equipe Eletrônica também confirmou que os aplicativos projetados para MacOS e Linux da Apple não são vulneráveis a esse problema e nem aqueles (incluindo o Windows) que não se registram como o manipulador padrão para um protocolo como myapp: //.
Os desenvolvedores de eletrônicos já lançaram duas novas versões de sua estrutura, ou seja, 1.8.2-beta.4, 1.7.11 e 1.6.16 para resolver esta vulnerabilidade crítica.
"Se, por algum motivo, você não conseguir atualizar sua versão eletrônica, você pode anexar - como o último argumento ao chamar app.setAsDefaultProtocolClient, o que impede que o Chromium analise outras opções", diz a empresa.
Os usuários finais não podem fazer nada sobre essa vulnerabilidade; Em vez disso, os desenvolvedores que usam o framework JS eletrônico devem atualizar seus aplicativos imediatamente para proteger sua base de usuários.
Muitos detalhes da vulnerabilidade remota de execução de código ainda não foram divulgados, nem o aviso denominado qualquer dos aplicativos vulneráveis (que se tornam o manipulador de protocolo padrão) por motivos de segurança.
Vamos atualizá-lo assim que todos os detalhes sobre a falha surgirem.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário