Electron: Schwachstelle in Framework betrifft zahlreiche Windows-Apps
Das Electron-Framework ist anfällig für Angriffe aus der Ferne – und mit ihm Skype, Slack und weitere Desktop-Apps für Windows. Neue App- und Framework-Versionen sorgen in einigen Fällen für Sicherheit; dennoch ist weiterhin Vorsicht angebracht.
(Bild: Electron)
Das von GitHub entwickelte Open-Source-Framework Electron weist eine Schwachstelle auf, die entfernten Angreifern die Code-Ausführung bei Desktop-Anwendungen ermöglicht, welche auf dem Framework basieren.
Obwohl Electron die plattformübergreifende Anwendungsentwicklung für Windows, Linux und macOS ermöglicht, sind ausschließlich Windows-Apps sicherheitsanfällig – und das auch nur dann, wenn sie sich selbst als Default-Handler für ein Web-Protokoll (in der Gestalt "myapp://" statt etwa "http://") registrieren. Dies trifft beispielsweise auf die Instant-Messaging-Dienste Skype und Slack zu: Für beide Anwendungen stehen Updates bereit, die die Electron-Schwachstelle beheben.
Möglicherweise weitere Apps betroffen
Wie Sprecher von Microsoft und Slack gegenüber der IT-News-Webseite Cyberscoop bestätigten, ist die neueste Skype-Version gegen die Electron-Schwachstelle mit der Bezeichnung CVE-2018-1000006 abgesichert. Gleiches gilt für den Slack-Messenger ab Version 3.0.3 aufwärts.
Bislang fehlt eine Übersicht über (weitere) Anwendungen, die sich als Default-Protokoll-Handler registrieren und somit anfällig für die Schwachstelle sind. Windows-Nutzer können aber eine Liste sämtlicher auf Electron basierender Apps als Anhaltspunkt verwenden, um selbständig nach Sicherheits-Updates zu recherchieren.
Neue Electron-Versionen verfügbar
Electron-Entwickler sollten dringend auf die neuen, gefixten Framework-Versionen 1.8.2-beta.4, 1.7.11 und 1.6.16 umsteigen und bereits entwickelte Apps zum Schutz ihrer Benutzer zeitnah aktualisieren. Weiterführende Details sind dem Sicherheitshinweis auf der Electron-Webseite zu entnehmen. (ovw)
