ニュース

「Electron」アプリに任意コードの実行を許す脆弱性 ~「Slack」や「Skype」に影響

Windowsのみ、Mac/Linuxには脆弱性の影響なし

公式ブログ“Electron Blog”

 「Electron」の開発チームは22日(米国時間)、「Electron」のプロトコルハンドラー機能に脆弱性(CVE-2018-1000006)が存在することを明らかにした。カスタムプロトコルハンドラーを利用する「Electron」アプリに影響し、最悪の場合、リモートから任意のコードが実行可能になるという。なお、この脆弱性はWindowsにのみ影響し、Mac/Linuxには影響しない。

 プロトコルハンドラーとは、指定したプロトコルに関連付けられたアプリケーションを起動する仕組み。たとえば“mailto:”というリンクをクリックしてメールアプリを起動するというように用いられる。旧バージョンの「Electron」にはプロトコルハンドラーの扱いに欠陥があり、細工を施したURLからアプリケーションを起動すると、任意のコードを実行できてしまう場合があるという。

 本脆弱性は、デスクトップ版の「Slack」や「Skype」といった「Electron」製アプリケーションに広く影響するようだ。修正版がリリースされている場合は、できるだけ速やかにアップデートを実施したい。