Vulnerabilidade grave descoberta no Electron
Uma vulnerabilidade do tipo RCE (do inglês remote code execution) foi encontrada no popular framework Electron, que é utilizado para criar aplicações desktop cross platform.
Este tipo de ataque permite que um attacker execute comandos no computador ou em um processo.
A vulnerabilidade está ligada ao uso da API de custom protocol, que permite que uma aplicação crie e intercepte requisições para diferentes protocolos.
Protocolos como file://
ou meuApp://
são alguns exemplos.
Nem todas as plataformas são afetadas por esta vulnerabilidade, na verdade, apenas o Windows sofre com esse tipo de ataque, mas sabemos que aplicações Desktop desenvolvidas com o Electron possuem um amplo uso no sistema da Microsoft.
A boa notícia é que o problema já foi corrigido pelo time do Electron.
As versões 1.8.2-beta.4 e 1.7.11 e 1.6.16 já possuem a correção.
Portanto, se você possui alguma aplicação desenvolvida com Electron, corre lá e faz o fix o mais rápido possível para não deixar os seus usuários correndo perigo.
Outro detalhe importante para usuários Windows é ficar ligado nos updates de todas as aplicações.
Atualmente, existe tanta aplicação feita com Electron que aposto que você usa alguma e pode nem saber 👌.
Das aplicações populares que sabemos que usam Electron, podemos citar o Slack, Franz, Skype, GitHub Desktop, Hyper, Now, Ghost Client, Atom, Visual Studio Code, e a lista continua.
O Brave, browser do criador do JavaScript, também é baseado no Electron, porém, não é afetado pela vulnerabilidade.
Segundo o próprio Brendan, o Brave usa um fork do Electron, que é muito mais seguro.