协议处理程序漏洞修复
·阅读时长 2 分钟
已发现一个影响使用自定义协议处理程序的 Electron 应用的远程代码执行漏洞。此漏洞已被分配 CVE 标识符 CVE-2018-1000006。
受影响的平台
设计在 Windows 上运行并将自身注册为协议(如 myapp://)默认处理程序的 Electron 应用存在漏洞。
无论如何注册协议,例如使用本机代码、Windows 注册表或 Electron 的 app.setAsDefaultProtocolClient API,此类应用都可能受到影响。
macOS 和 Linux **不受**此问题的影响。
缓解措施
我们已发布新版本的 Electron,其中包含此漏洞的修复程序:1.8.2-beta.5、1.7.12 和 1.6.17。我们敦促所有 Electron 开发人员立即将其应用更新到最新的稳定版本。
如果由于某种原因您无法升级 Electron 版本,您可以在调用 app.setAsDefaultProtocolClient 时,将 -- 作为最后一个参数追加,这可以防止 Chromium 解析其他选项。双破折号 -- 表示命令选项的结束,之后只接受位置参数。
app.setAsDefaultProtocolClient(protocol, process.execPath, [
'--your-switches-here',
'--',
]);
有关更多详细信息,请参阅 app.setAsDefaultProtocolClient API。
要了解有关保持 Electron 应用安全的最佳实践的更多信息,请参阅我们的安全教程。
如果您想报告 Electron 中的漏洞,请发送电子邮件至 [email protected]。