La compañía de
ciberseguridad TrustWave ha advertido sobre una vulnerabilidad presente en la
herramienta de desarrollo multiplataforma Electron, que sirve como base a
aplicaciones web como Slack o Skype, por la que se pueden modificar los
privilegios del sistema.
La vulnerabilidad,
nombrada como CVE-2018-1000136, afecta a todas las versiones de la herramienta,
betas incluidas, que además de a las API, permitía la ejecución de código de
forma remota a través de un nodo externo, según ha alertado el experto en
ciberseguridad Brendan Scarvell a través de la web de TrustWave.
Electron es una
plataforma abierta que permite desarrollar aplicaciones web utilizando de forma
conjunta los lenguajes HTML, JavaScript y CSS para que el 'software' sea
compatible con varias plataformas. En la actualidad, se utiliza para un total
de 577 aplicaciones entre las que destacan algunas como Slack, Skype, Signal,
Visual Studio Code y GitHub Desktop.
Con la
vulnerabilidad, los ciberatacantes pueden acceder a varios de los elementos de
Electron, en su mayoría con permisos menores, pero desde los que resulta
posible acceder a la configuración parental o incluso modificar y ejecutar los
privilegios del sistema.
Electron ya ha
solucionado la brecha a través de su último parche, que ha distribuido entre
los desarrolladores de todas sus aplicaciones para que terminen con la
vulnerabilidad. La compañía de ciberseguridad ha recomendado también a los
usuarios que actualicen las aplicaciones afectadas.
Fuente: Europa Press