アプリフレームワーク「Electron」にリモートコード実行の脆弱性、一部のアプリに影響

「Electron」の公式ブログ

　アプリケーションフレームワーク「Electron」の開発チームは8月22日（米国時間）、「Electron」にリモートコード実行の脆弱性（CVE-2018-15685）が存在することを明らかにした。ネストした子ウィンドウを開くアプリケーションに影響するという。

　開発チームによると、本脆弱性は「Electron」アプリは以下の条件を満たすものに影響する。

• 「Electron」v3.0.0-beta.6、v2.0.7、v1.8.7、v1.7.15を利用している
• ユーザーコンテンツをリモートから取得し、埋め込んでいる（サンドボックス機能を有効化している場合も含む）
• クロスサイトスクリプティング（XSS）脆弱性のあるユーザー入力を受け付けている

　同日付けでリリースされたv3.0.0-beta.7、v2.0.8、v1.8.8およびv1.7.16で修正されているので、本脆弱性への対策としては「Electron」のアップデートが最善だ。「Electron」のアップデートが難しい場合は、公式ブログで紹介されているスニペットを追加して、ウィンドウを開くイベントの既定動作をキャンセルすればよい（“event.preventDefault()”メソッドを呼ぶ）。

　「Electron」は、GitHubが開発したオープンソースのアプリケーション開発フレームワーク。「Chromium」「Node.js」を採用しており、HTML/CSS/JavaScriptといったWeb技術でWindows/Mac/Linuxに対応したネイティブデスクトップアプリケーションを開発できる。