Error crítico afecta aplicaciones de Windows creadas con Electron JS Framework
Una vulnerabilidad crítica de ejecución remota de código fue reportada en Electron, un popular framework web que impulsa miles de aplicaciones de escritorio ampliamente utilizadas, como son Skype, Signal, Wordpress y Slack.
Electron es un marco de trabajo de código abierto que está basado en Node.js y Chromium Engine que permite a los desarrolladores de aplicaciones crear aplicaciones de escritorio nativas multiplataforma para Windows, macOS y Linux, sin necesidad de poseer el conocimiento de los lenguajes de programación utilizados para cada plataforma.![](https://3.bp.blogspot.com/-lAHE9MSWXjY/Wmh6GKyK03I/AAAAAAAAvjw/yZkRCMTLbIcWNiNKzpuO_E5-6lhbJphfACLcBGAs/s1600/electron-js-framework-hacking.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 0px; margin-right: 1em; margin-left: 0px;"><img alt="Electron Framework" data-original-height="380" data-original-width="728" src="https://3.bp.blogspot.com/-lAHE9MSWXjY/Wmh6GKyK03I/AAAAAAAAvjw/yZkRCMTLbIcWNiNKzpuO_E5-6lhbJphfACLcBGAs/s1600/electron-js-framework-hacking.png)
La vulnerabilidad, nombrada bajo el código CVE-2018-1000006, afecta solo a aquellas aplicaciones que se ejecutan en Microsoft Windows y que se registran ellas mismas como el controlador predeterminado para un protocolo como myapp://.
"Dichas aplicaciones pueden verse afectadas independientemente de cómo se registra el protocolo, por ejemplo, usando código nativo, el registro de Windows o la API app.setAsDefaultProtocolClient de Electron", dice Electron en un aviso publicado el lunes.
El equipo de Electron también ha confirmado que las aplicaciones diseñadas para macOS de Apple y Linux no son vulnerables a este problema, y tampoco aquellas (incluso para Windows) que no se registran como el controlador predeterminado para un protocolo como myapp://.
Los desarrolladores de Electron ya han lanzado dos nuevas versiones de su framework, es decir, 1.8.2-beta.4, 1.7.11 y 1.6.16 para abordar esta vulnerabilidad crítica.
"Si por alguna razón no puede actualizar su versión de Electron, puede agregar como último argumento app.setAsDefaultProtocolClient cuando se mande a llamar, lo que evita que Chromium analice más opciones", dice la compañía.
Los usuarios finales no pueden hacer nada acerca de esta vulnerabilidad; en cambio, los desarrolladores que usan Electron JS Framework tienen que actualizar sus aplicaciones de inmediato para proteger su base de usuarios.
Todavía no se han divulgado detalles de la vulnerabilidad de ejecución remota de código, ni la advertencia sobre alguna de las aplicaciones vulnerables (que se convierten en el controlador de protocolo predeterminado) por razones de seguridad.