Sebuah kerentanan dalam framework software untuk building yang sangat populer memberikan dampak pada sejumlah besar aplikasi desktop populer dari Microsoft (Skype, Visual Studio Code), Brave (browser), GitHub (Atom Editor), Signal, Slack, Basecamp, WordPress.com, Twitch, Ghost, dan lainnya.
Kerentanan tersebut berada di Electron, framework yang dibuat oleh tim GitHub untuk membantu pengembangan dari editor source code Atom.
Sejak diluncurkan pada tahun 2013, framework ini menjadi sangat populer karena memungkinkan pengembang aplikasi membuat aplikasi cross-OS menggunakan teknologi web dasar seperti JavaScript (Node.js), HTML, dan CSS.
Karena itu, Electron telah digunakan oleh sejumlah besar produk, bahkan untuk aplikasi Signal, Skype yang dirubah Microsoft, dan semua jenis aplikasi desktop untuk layanan seperti Twitch, Slack, Basecamp, dan WordPress.com.
Beberapa aplikasi berbasis Electron rentan terhadap serangan Remote Code Execution
Tim Electron mengatakan bahwa mereka memperbaiki kerentanan RCE dalam framework Electron. Kerentanan hanya mempengaruhi aplikasi Windows, bukan aplikasi untuk Mac atau Linux.
Pengembang Electron mengatakan aplikasi Electron yang mendaftarkan diri mereka sebagai aplikasi default untuk menangani format protokol khusus seperti myapp:// rentan dan akan memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang terpengaruh secara remote.
Kerentanan, yang berada di API app.setAsDefaultProtocolClient oleh Electron telah diperbaiki pada hari Senin saat tim Electron merilis versi 1.8.2-beta.4, 1.7.11, dan 1.6.16.
Pengembang juga menyertakan solusi cepat untuk pengembang aplikasi yang tidak dapat memperbarui aplikasi mereka ke kode framework Electron yang baru.
Microsoft juga menambahkan dukungan untuk mendeteksi upaya yang memanfaatkan kerentanan tersebut pada sistem yang dilindungi Windows Defender.
Recent protocol handler bug disclosed by Electron as seen in Windows Defender ATP #poc #electron #cve-2018-1000006
URL: https://t.co/Pr3zTBsrbQ pic.twitter.com/oXSLnLdNYh— Microsoft Security Intelligence (@MsftSecIntel) January 23, 2018
