Electron framework vulnerable a error de RCE

Una vulnerabilidad en Electron framework puede afectar a un gran número de aplicaciones de escritorio más populares de Microsoft (Skype código de Visual Studio) Brave (navegador) GitHub (Atom Editor) Slack Basecamp WordPress twitch y otros

Desde su creación en 2013, se convirtió en un framework increíblemente popular debido a que permitía a los desarrolladores de aplicaciones para crear aplicaciones en OS cruz utilizando tecnologías web básicos, tales como JavaScript (Node.js), HTML y CSS. Debido a esto, Electrón ha sido utilizado por un gran número de productos, incluso para aplicaciones de alta resistencia.

El 22 de enero, el equipo de Electron dijo que parcheo una vulnerabilidad de ejecución remota de código en el marco de Electron. La vulnerabilidad sólo afecta a aplicaciones de Windows, no en aplicaciones para Mac o Linux.

Desarrolladores de Electron dijeron que las aplicaciones de Electron que se registran a sí mismos como la aplicación por defecto para el manejo de formatos de protocolos personalizados tales como miaplicacion: // son vulnerables y permitirá a un atacante ejecutar código malicioso en los sistemas afectados de forma remota.

La falla, que reside en la API de app.setAsDefaultProtocolClient el framework de Electron fue parcheado el 22 de enero, cuando el equipo lanzo versiones 1.8.2-beta.4 , 1.7.11 y 1.6.16 del framework de creación de software.

Los desarrolladores también incluye una solución rápida para los desarrolladores de aplicaciones que no puedan actualizar sus aplicaciones para el nuevo código de la arquitectura de Electron por el momento.

La solución es una solución temporal para evitar que los atacantes puedan explotar la falla, pero los expertos esperan que los atacantes puedan encontrar una forma de evitar que sea muy pronto.

Microsoft también ha añadido soporte para la detección de intentos de aprovechar la falla en los sistemas protegidos con Windows Defender.

Los desarrolladores de aplicaciones son los primeros que tienen que actuar mediante la incorporación de las correcciones de electrones en sus aplicaciones.

En segundo lugar, los usuarios de aplicaciones necesitarán el aplicar los parches más recientes para cualquiera de las aplicaciones que aparecen en esta página.

No todas estas aplicaciones se registran a sí mismos como controladores de protocolo por defecto (por lo tanto no son vulnerables) pero es mejor errar por el lado de la precaución y actualizar sus aplicaciones de todos modos.

Fecha actualización el 2018-01-24. Fecha publicación el 2018-01-24. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
Electron framework