「Electron」に脆弱性、“WebView”を利用する一部アプリケーションに影響

公式ブログ“Electron Blog”

　「Electron」の開発チームは21日（米国時間）、「Node.js」統合を無効化したにもかかわらず再度有効化されてしまう脆弱性（CVE-2018-1000136）が一部の「Electron」アプリで発見されたことを明らかにした。同日付けでリリースされたv1.7.13、v1.8.4、およびv2.0.0-beta.5ですでに修正されている。

　開発チームによると、本脆弱性の影響を受ける「Electron」アプリは以下の条件をすべて満たすものだけだという。

• 「Electron」のv1.7、v1.8、またはv2.0.0-betaを利用している
• 任意のリモートコードの実行を許可している
• 「Node.js」統合を無効化している
• “WebPreferences”で“webviewTag: false”を明示的に宣言していない
• “nativeWindowOption”オプションを有効化していない
• “new-window”イベントをインターセプトしておらず、かつ提供されたオプションタグを利用せずに“event.newGuest”を手動でオーバーライドしている

　該当する「Electron」アプリは少数だとみられているが、開発チームは予防措置としてすべてのアプリケーションをアップグレードすることを推奨している。また、「Electron」のアップグレードが困難な環境で利用できる修正コードも案内されている。