کشف یک آسیب‌پذیری مهم در الکترون(چارچوب توسعه‌ی برنامه‌های مبتنی وب)

یک آسیب پذیری اجرای کد از راه دور در چارچوب توسعه ی برنامه های کاربردی الکترون کشف شده است. این چارچوب برای توسعه ی بسیاری از برنامه ها نظیر اسکایپ، سیگنال، وردپرس و اسلک مورد استفاده قرار گرفته است. الکترون یک چارچوب متن باز بوده و مبتنی بر Node.js و ماشین کرومیوم می باشد و به توسعه دهندگان برنامه های وب اجازه می دهد تا به توسعه ی برنامه های چند بستری برای ویندوز، لینوکس و مک بپردازند بودن اینکه به دانشی در مورد زبان های برنامه‌نویسی آن ها نیازی داشته باشند.
این آسیب‌پذیری با شناسه‌ی CVE-2018-1000006 تنها برنامه‌هایی که بر روی مایکروسافت ویندوز نصب شده و خود را به‌عنوان راه‌انداز پروتکل‌هایی مانند myapp:// ثبت کرده‌اند، تحت تاثیر قرار می‌دهد. گروه الکترون تایید کرده که این آسیب‌پذیری برنامه‌های موجود در ماشین‌های مک و لینوکس را تحت تاثیر قرار نداده است. این گروه دو نسخه‌ی جدید ۱٫۷٫۱۱ و ۱٫۶٫۱۶ را برای وصله‌ی این آسیب‌پذیری منتشر کرده‌اند.
کاربرانی که از برنامه‌های دارای آسیب‌پذیری استفاده می‌کنند، نمی‌توانند برای رفع مشکلات آن کاری بکنند. بلکه توسعه‌دهندگان این برنامه‌ها، باید چارچوب الکترون را به‌روزرسانی کنند تا کاربرانی که از برنامه‌های آن‌ها استفاده می‌کنند در معرض خطر قرار نگیرند. هنوز جزئیات دقیقی در مورد این آسیب‌پذیری و اینکه چه برنامه‌هایی تحت تاثیر قرار گرفته‌اند، به دلایل امنیتی منتشر نشده است.

 

منبع:

https://thehackernews.com/2018/01/electron-js-hacking.html