Electron es un popular framework para la creación de aplicaciones web utilizado por muchos proyectos relevantes, entre los que se encuentran Atom, Visual Studio Code, GitHub Desktop, WordPress.com, Skype y Slack, por lo que puede ser considerado como un software importante incluso para uso profesional.

Hace dos días se descubrió en el mencionado framework una importante vulnerabilidad de ejecución de código en remoto que solo podía ser ejecutado en Windows, ya que macOS y Linux no estaban afectados por un tema de diseño. Los desarrolladores de Electron lo etiquetaron como una Vulnerabilidad en el Manejador de Protocolo y se le ha asignado el código CVE-2018-1000006. Además del sistema de Microsoft, el otro requisito para ejecutarla es que las aplicaciones se registren a sí mismas como su manejador por defecto para un protocolo como myapp://, que por ejemplo en Slack se convierte en slack://.

Los desarrolladores de Electron ya han corregido la vulnerabilidad descubierta en las versiones 1.8.2-beta.4, 1.7.11 y 1.6.16 de su framework, además de recomendar a todos los que hayan creado aplicaciones con él que apliquen los parches cuanto antes para proteger a los usuarios de Windows, por lo que los usuarios de aplicaciones Electron sobre el sistema de Microsoft han podido ver actualizaciones en los últimos días.

Aunque en esta ocasión el diseño para cada uno de los sistemas operativos ha impedido que la vulnerabilidad sea multipltaforma, aprovechamos para recordar que poco a poco se está abriendo hueco malware que usan tecnologías multiplataforma para así impactar a una mayor cantidad de sistemas operativos e incluso a todos a la vez, como está pasando con el uso de JavaScript por parte de los mineros.

Fuente: CyberScoop