Uma vulnerabilidade do tipo RCE (do inglês remote code execution) foi encontrada no popular framework Electron, que é utilizado para criar aplicações desktop cross platform.

Este tipo de ataque permite que um attacker execute comandos no computador ou em um processo.

A vulnerabilidade está ligada ao uso da API de custom protocol, que permite que uma aplicação crie e intercepte requisições para diferentes protocolos.

Protocolos como file:// ou meuApp:// são alguns exemplos.

Nem todas as plataformas são afetadas por esta vulnerabilidade, na verdade, apenas o Windows sofre com esse tipo de ataque, mas sabemos que aplicações Desktop desenvolvidas com o Electron possuem um amplo uso no sistema da Microsoft.

A boa notícia é que o problema já foi corrigido pelo time do Electron.

As versões 1.8.2-beta.4 e 1.7.11 e 1.6.16 já possuem a correção.

Portanto, se você possui alguma aplicação desenvolvida com Electron, corre lá e faz o fix o mais rápido possível para não deixar os seus usuários correndo perigo.

Outro detalhe importante para usuários Windows é ficar ligado nos updates de todas as aplicações.

Atualmente, existe tanta aplicação feita com Electron que aposto que você usa alguma e pode nem saber 👌.

Das aplicações populares que sabemos que usam Electron, podemos citar o Slack, Franz, Skype, GitHub Desktop, Hyper, Now, Ghost Client, Atom, Visual Studio Code, e a lista continua.

O Brave, browser do criador do JavaScript, também é baseado no Electron, porém, não é afetado pela vulnerabilidade.

Segundo o próprio Brendan, o Brave usa um fork do Electron, que é muito mais seguro.