跳到主要内容

协议处理程序漏洞修复

·2 分钟阅读

已发现一个影响使用自定义协议处理程序的 Electron 应用程序的远程代码执行漏洞。此漏洞已被分配 CVE 标识符 CVE-2018-1000006


受影响的平台

设计在 Windows 上运行并注册为协议默认处理程序的 Electron 应用程序(例如 myapp://)容易受到攻击。

无论协议是如何注册的,此类应用程序都可能受到影响,例如使用原生代码、Windows 注册表或 Electron 的 app.setAsDefaultProtocolClient API。

macOS 和 Linux **不受此问题影响**。

缓解措施

我们已发布了包含此漏洞修复的新版本 Electron:1.8.2-beta.51.7.121.6.17。我们敦促所有 Electron 开发者立即将其应用程序更新到最新的稳定版本。

如果由于某种原因无法升级 Electron 版本,可以在调用 app.setAsDefaultProtocolClient 时将 -- 作为最后一个参数附加,这会阻止 Chromium 解析更多选项。双破折号 -- 表示命令选项的结束,此后只接受位置参数。

app.setAsDefaultProtocolClient(protocol, process.execPath, [
'--your-switches-here',
'--',
]);

有关更多详细信息,请参阅 app.setAsDefaultProtocolClient API。

要了解有关保持 Electron 应用程序安全的最佳实践,请参阅我们的安全教程

如果您希望报告 Electron 中的漏洞,请发送电子邮件至 security@electronjs.org