Electron 软件框架漏洞影响众多热门应用：Skype、Signal、Slack、Twitch......

一个广受欢迎的软件构建框架近日爆出一个漏洞，它可能影响诸多公司的大量热门桌面应用程序，包括微软（Skype和Visual Studio Code）、Brave（浏览器）、GitHub（Atom编辑器）、Signal、Slack、Basecamp、WordPress.com、Twitch、Ghost及其他。

这个漏洞影响的是Electron，GitHub团队开发的这种软件框架用于协助Atom源代码编辑器的开发。

自2013年问世以来，这种框架大受欢迎，原因在于它让应用程序开发人员可以使用JavaScript（Node.js）、HTML和CSS等基本的Web技术，创建跨操作系统的应用程序。

正因为如此，Electron已经被大量的产品所使用，甚至用于处理繁重任务的应用程序，比如加密即时消息传递巨头Signal的同名服务、微软经过改动的Skype客户软件，以及面向Twitch、Slack、Basecamp和WordPress.com等众多服务的各种桌面配套应用程序。

一些基于Electron的应用程序很容易受到严重的RCE漏洞的影响

周一，Electron团队表示已给Electron框架中的远程代码执行漏洞打上了补丁。该漏洞只影响Windows应用程序，不影响Mac或Linux应用程序。

Electron的开发人员称，一些Electron应用程序号称是处理自定义协议格式（比如myapp://）的默认应用程序，它们岌岌可危，让攻击者得以在受影响的系统上远程执行恶意代码。

这个漏洞位于Electron框架的app.setAsDefaultProtocolClient API中，周一已打上了补丁：Electron团队发布了这个软件构建框架的1.8.2-beta.4、1.7.11和1.6.16版本。

开发人员还为目前无法将应用程序更新到新的Electron框架代码的应用程序开发人员提供了一种简易的变通方法。

这个变通方法就是打上临时修补程序，防止攻击者钻这个漏洞的空子，不过专家们预计攻击者很快就能找到对应的规避方法。

微软也增添了支持这项服务的功能：检测企图利用受Windows Defender保护的系统上这个漏洞的活动。

应用程序开发人员是最先需要行动起来，将Electron修复程序加入到应用程序中的群体。其次，应用程序用户需要针对此处（https://electronjs.org/apps）列出的任何应用程序打上最新的补丁。并不是所有这些应用程序都号称是默认的协议处理程序（因此它们并非岌岌可危），但最好还是谨慎为妙，尽快更新应用程序。