Electron est un framework open-source qui permet aux développeurs de créer des applications de bureau telles que JavaScript, HTML et CSS .

En ce qui concerne la vulnérabilité dans le Framework d’Electron, il pourrait avoir un impact direct sur les applications Skype, Signal, Slack, GitHub Desktop, Twitch, Visual Studio Code, Github Desktop et WordPress.com.

Ces applications sont susceptibles de subir des attaques de script intersites en raison de l'échec de la désinfection correcte des entrées fournies par l'utilisateur.

Les pirates pourraient exécuter du code à distance

"Une vulnérabilité d'exécution de code à distance a été découverte affectant les applications Electron qui utilisent des gestionnaires de protocole personnalisés. Cette vulnérabilité a été assignée à l'identificateur CVE CVE-2018-1000006. » Déclare l'équipe Electron.

Les utilisateurs de macOS et Linux ne sont cependant pas vulnérables au problème.

Une solution de contournement pour éviter l'exploitation de la vulnérabilité.

« Si vous ne pouvez pas mettre à jour votre version Electron, vous pouvez ajouter "-" comme dernier argument lors de l'appel de app.setAsDefaultProtocolClient, ce qui empêche Chromium d'analyser d'autres options. Le double tiret "-" signifie la fin des options de commande, après quoi seuls les paramètres de position sont acceptés ", explique Electron.

Nous vous invitons immédiatement à mettre à jour votre application pour éviter des problèmes.