В Skype, Slack и суперзащищенном мессенджере Signal нашлась одинаковая «дыра»

«Дыра» во фреймворке Серьезная уязвимость в фреймворке Electron затрагивает ряд популярнейших коммуникационных приложений, в том числе Skype, в корпоративной среде Slack и защищенный мессенджер Signal, который называют любимым мессенджером Эдварда Сноудена (Edward Snowden). «Дыра» позволяет хакерам удаленно исполнять на взломанном ПК произвольный код. Electron представляет собой фреймворк node.js и Chromium. Он позволяет разработчикам использовать веб-технологии (JavaScript, HTML и CSS) для создания десктопных приложений. Уязвимость, получившая индекс CVE-2018-1000006, затрагивает только клиентские приложения в среде Windows: под другими операционными системами ее нет. В описании проблемы от разработчиков Electron указывается, что уязвимыми являются только те приложения, которые регистрируются в Windows в качестве обработчиков того или иного протокола по умолчанию (например, myapp://); такие приложения будут уязвимы вне зависимости от того, как они регистрируются - в системном реестре Windows или в API app.setAsDefaultProtocolClient самого Electron. Приложения, которые построены с использованием Electron, но не регистрируются как обработчики каких-либо протоколов (например, клиент Discord или система управления контентом WordPress), не подвержены этой уязвимости. Исправления уязвимости Разработчики Slack уже заявили, что в версии 3.0.3 и выше уязвимость отсутствует, и призвали всех пользователей обновиться как можно скорее. http://filearchive.cnews.ru/img/news/2018/01/25/sss600.jpg"> Одинаковая «дыра» в Skype, Slack и Signal позволяет злоумышленникам удаленно запускать произвольный код на взломанном ПК В Microsoft отметили, что в последней на данный момент версии Skype этой уязвимости уже нет. Во вторник разработчики Electron выпустили новую версию своего ПО, в котором исправлена указанная ошибка. Всем разработчикам приложений, которые используют Electron, рекомендуется обновиться как можно скорее. На официальных ресурсах разработчиков Signal упоминания уязвимости отсутствуют. «Уязвимости в популярных фреймворках - это всегда гораздо большая проблема, чем аналогичные проблемы в пользовательском ПО, уже в силу масштабов охвата, - говорит [b]Роман Гинятуллин[/b], эксперт по информационной безопасности компании SEC Consult Services. - В случае с Electron проблему удалось решить довольно быстро, хотя в конечном счете все зависит от того, как быстро пройдет обновление до актуальных версий».[img]http://filearchive.cnews.ru/img/news/2018/01/25/sss600.jpg"> Одинаковая «дыра» в Skype, Slack и Signal позволяет злоумышленникам
удаленно запускать произвольный код на взломанном ПК В Microsoft отметили, что в последней на данный момент версии Skype этой уязвимости уже нет. Во вторник разработчики Electron выпустили новую версию своего ПО, в котором исправлена указанная ошибка. Всем разработчикам приложений, которые используют Electron, рекомендуется обновиться как можно скорее. На официальных ресурсах разработчиков Signal упоминания уязвимости отсутствуют. «Уязвимости в популярных фреймворках - это всегда гораздо большая проблема, чем аналогичные проблемы в пользовательском ПО, уже в силу масштабов охвата, - говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - В случае с Electron проблему удалось решить довольно быстро, хотя в конечном счете все зависит от того, как быстро пройдет обновление до актуальных версий».