Electron представляет собой фреймворк node.js и Chromium. Он позволяет разработчикам использовать веб-технологии (JavaScript, HTML и CSS) для создания десктопных приложений. Уязвимость, получившая индекс CVE-2018-1000006, затрагивает только клиентские приложения в среде Windows: под другими операционными системами ее нет.
В описании проблемы от разработчиков Electron указывается, что уязвимыми являются только те приложения, которые регистрируются в Windows в качестве обработчиков того или иного протокола по умолчанию (например, myapp://); такие приложения будут уязвимы вне зависимости от того, как они регистрируются - в системном реестре Windows или в API app.setAsDefaultProtocolClient самого Electron.
Приложения, которые построены с использованием Electron, но не регистрируются как обработчики каких-либо протоколов (например, клиент Discord или система управления контентом WordPress), не подвержены этой уязвимости.
Исправления уязвимостиРазработчики Slack уже заявили, что в версии 3.0.3 и выше уязвимость отсутствует, и призвали всех пользователей обновиться как можно скорее.
Одинаковая «дыра» в Skype, Slack и Signal позволяет злоумышленникамудаленно запускать произвольный код на взломанном ПК