2

Popularne aplikacje zagrożone. Winna podatność w Electron

I użytkownicy i deweloperzy powinni w tym momencie zainteresować się Electronem - frameworkiem Chromium, który pozwala na wykorzystanie webowych technologii do zbudowania aplikacji. Jak się okazuje, wszystkie zbudowane w nim programy są podatne na poważne błędy bezpieczeństwa.

Electron pozwala na wykorzystanie JavaScriptu, HTML oraz CSS w trakcie budowania swoich aplikacji. Te są przeznaczane do rozwiązań desktopowych, a Electron jest wymieniany jako najważniejszy framework, który pozwala na przeniesienie konkretnej aplikacji webowej do jej wariantu desktopowego.

Jak się okazuje, przez pewien czas na błąd w Electron podatne były bardzo popularne aplikacje: Slack (na szczeście od wersji 3.0.3 zostało to naprawione), a nawet Skype od Microsoftu (najnowsza wersja jest już załatana).

Z Electrona korzystają również inne plikacje – desktopowy wariant WordPressa również zbudowano w tym frameworku. Podobnie jest z Basecampem oraz komunikatorem Signal. Jeżeli korzystacie z któregokolwiek wymienionego w tekście programu, sprawdźcie, czy została przygotowana dla Was aktualizacja naprawiająca poważny błąd bezpieczeństwa.

electron

Jeżeli nie jesteście pewni, czy którakolwiek z zainstalowanych przez Was aplikacji została stworzona za pomocą Electrona, twórca frameworka oferuje kompletną listę programów. Pamiętajcie również o tym, że tylko te programy, które działają na Windows są podatne na opisywany błąd. Użytkownicy macOS oraz Linuksa mogą być całkowicie spokojni.

Błąd w Electronie został już naprawiony – co było możliwe w wyniku luki?

CVE-2018-1000006 dotyczy możliwości zdalnego wykonania złośliwego kodu w podatnych aplikacjach (stworzonych za pomocą Electrona). Sam Electron nie publikuje zbyt dużej ilości szczegółów na ten temat (co jest kompletnie zrozumiałe w tym momencie), ale wyjaśnia, że programy stworzone w Electronie są rejestrowane jako domyślnie wykorzystujące konkretny protokół (np. Skype://). W związku z wykryciem tej podatności, twórcy Electrona proszą wszystkich deweloperów o pobranie najnowszych wersji frameworka i na ich bazie, zaktualizowanie swoich aplikacji.

Oby tylko deweloperzy wzięli sobie do serca prośbę twórców Electrona

Istnieje całkiem spora grupa słabo wspieranych, lub nierozwijanych wręcz już programów, które nie mogą liczyć na zainteresowanie deweloperów. Większość programów z listy, którą dostarczyliśmy Wam powyżej to raczej często aktualizowane aplikacje – niestety znajdują się w niej również takie, które prawdopodobnie w ogóle nie doczekają się naprawienia błędów. I właściwie nie ma pomysłu na to, co zrobić z nimi dalej – nie da się ich „wyłączyć”, a i cały czas będą one działać na każdym komputerze.