Kerentanan eksekusi kode jarak jauh yang kritis telah dilaporkan di Electron – kerangka aplikasi (framework) web yang populer yang memungkinkan ribuan aplikasi desktop yang banyak digunakan termasuk Skype, Signal, WordPress dan Slack – memungkinkan eksekusi kode jauh.
Electron adalah kerangka sumber terbuka yang didasarkan pada Node.js dan Chromium Engine dan memungkinkan pengembang aplikasi membuat aplikasi desktop asli lintas platform untuk Windows, macos dan Linux, tanpa pengetahuan bahasa pemrograman yang digunakan untuk setiap platform.
Kerentanan, yang dikenal dengan nomor CVE-2018-1000006, hanya mempengaruhi aplikasi yang berjalan di Microsoft Windows dan mendaftarkan diri sebagai penangan default untuk protokol seperti myapp: //.
“Aplikasi semacam itu dapat terpengaruh terlepas dari bagaimana protokol terdaftar, misalnya menggunakan kode asli, registri Windows, atau API App.setAsDefaultProtocolClient Electron,” kata Electron dalam sebuah pengumuman yang diterbitkan pada hari Senin.
Tim Electron juga telah mengkonfirmasi bahwa aplikasi yang dirancang untuk macos dan Linux Apple tidak rentan terhadap masalah ini, dan juga tidak (termasuk untuk Windows) yang tidak mendaftarkan diri mereka sebagai penangan default untuk protokol seperti myapp: //.
Pengembang Elektron telah merilis dua versi baru dari kerangka kerja mereka, yaitu 1.8.2-beta.4, 1.7.11, dan 1.6.16 untuk mengatasi celah keamanan ini.
“Jika karena alasan tertentu Anda tidak dapat meng-upgrade versi Elektron Anda, Anda bisa menambahkan – sebagai argumen terakhir saat memanggil app.setAsDefaultProtocolClient, yang mencegah Chromium untuk menguraikan opsi lebih lanjut,” kata perusahaan itu.
Pengguna akhir tidak dapat melakukan apa-apa tentang kerentanan ini; Sebagai gantinya, pengembang yang menggunakan kerangka Electron JS harus segera meningkatkan aplikasi mereka untuk melindungi basis pengguna mereka.
Banyak rincian kerentanan eksekusi kode jarak jauh belum diungkapkan, baik penasihat tersebut memberi nama salah satu aplikasi yang rentan (yang menjadikan diri mereka sebagai penangan protokol standar) untuk alasan keamanan.
Kami akan memperbarui Anda segera setelah rincian tentang kekurangan itu keluar.