En rekke Windows-applikasjoner er basert på det Node.js- og Chromium-baserte rammeverket Electron, som skal gjøre det enkelt å tilby kryssplattformapplikasjoner. Nå viser det seg at en god del av disse applikasjonene er berørt av en alvorlig sårbarhet som har blitt funnet i dette rammeverket. Dette skriver nettstedet CyberScoop.
Slack og Skype
Sårbarheten berører bare Windows-utgavene av applikasjonene og bare applikasjoner som i Windows registrerer seg som standardapplikasjon for spesifikke protokoller tilsvarende minapp:// eller URL:minapp. Slack, som er blant de berørte applikasjonene, er standardapplikasjon for protokollen slack:// eller URL:slack.
Det er også klart at Skype er berørt.
Både Slack og Skype har nylig kommet i nye utgaver hvor sårbarheten er blitt fjernet. Men det er ikke nødvendigvis slik at brukerne varsles om at slike oppdateringer er tilgjengelig.
Sårbarheten skal ifølge CyberScoop være fjernet i Slack 3.0.3 og nyere, samt i den nyeste versjonen av Skype.
Men også andre, Electron-baserte applikasjoner for Windows kan være berørt.
Windows-applikasjonen for den krypterte meldingstjenesten Signal nevnes i denne sammenheng. Den er basert på Electron, men det er ikke bekreftet at denne applikasjonen faktisk er berørt. Det er likevel fornuftig å sjekke at versjonen som er installert, faktisk er den aller nyeste, da eldre versjoner også kan være berørt av andre sårbarheter.
Kritisk til Skype: – Dette er den verste oppdateringen jeg noen gang har sett
Fjernkjøring
Selve sårbarheten skal åpne for fjernkjøring av vilkårlig kode, men veiledningen fra Electron inneholder få detaljer.
Det opplyses likevel at sårbarheten er fjernet i versjonene 1.8.2-beta.4, 1.7.11 og 1.6.16 av rammeverket. Utviklere av applikasjoner som er basert på Electron bør umiddelbart oppdatere applikasjonene slik at de baseres på den nyeste, stabile utgaven av rammeverket.
Les også: Den vanlige Windows-versjonen av Slack er nå tilgjengelig i Windows Store
