Electron es un
framework desarrollado por GitHub que permite a los desarrolladores crear sus
aplicaciones multiplataforma creando simples aplicaciones web utilizando
JavaScript, HTML y node.js, entre otros elementos web, y Chromium como backend
y frontend. Este framework se utiliza en una gran cantidad de aplicaciones,
como Atom, Visual Studio Code, y muchas aplicaciones de mensajería a través de
Internet, como Discord, Skype y Signal.
Aunque Electron es un
proyecto de código abierto, este no está libre de fallos y vulnerabilidades,
fallos que, en ocasiones como esta, ponen en peligro la seguridad de los
usuarios. Así, hace algunas horas, se daba a conocer un nuevo fallo de
seguridad en Electron que afecta a prácticamente todas las aplicaciones
escritas utilizando este framework.
Fallo RCE expone a usuarios
de Skype y otras aplicaciones basadas en Electron
Tal como podemos leer
en el blog de Electron, este fallo de seguridad, registrado como
CVE-2018-1000006, se encuentra en el protocolo utilizado por las aplicaciones
de Windows para asociar aplicaciones a servicios. Este fallo puede permitir la
ejecución de código en la memoria del sistema que ejecuta una aplicación basada
en Electron, poniendo en peligro a los usuarios.
Los expertos de
seguridad de Electron aseguran que este fallo de seguridad solo afecta a los
programas de Windows, por lo que si utilizamos este tipo de aplicaciones en
otros sistemas, como Linux o macOS, no tenemos de qué preocuparnos.
Cómo protegernos de esta vulnerabilidad en
las apps Electron
Los desarrolladores
de Electron ya han publicado nuevas versiones del framework para solucionar
este fallo de seguridad: 1.8.2-beta.4, 1.7.11, y 1.6.16. El resto del trabajo
depende de los desarrolladores, quienes deben actualizar cuanto antes sus
aplicaciones a estas nuevas versiones del framework para solucionar la
vulnerabilidad. En caso de que algún desarrollador no pueda actualizar la
versión base de este framework, también se puede mitigar el problema añadiendo
el parámetro “–” tras llamar a la función “app.setAsDefaultProtocolClient”.
Algunas aplicaciones,
como Skype o Slack para Windows ya se han actualizado para corregir este fallo
de seguridad, pero aún hay un gran número de aplicaciones pendientes de
actualizarse, aplicaciones que, si las utilizamos, están poniendo en peligro
nuestra seguridad si hacen uso de estas llamadas a aplicaciones y servicios en
Windows.
Fuente: Redes Zone.net