发布日期：2018-01-17
更新日期：2018-01-29

受影响系统：

github Electron <= 1.6.15
    - Windows 7
    - Windows 2008
    - Windows 10
github Electron <= 1.7.10
    - Windows 7
    - Windows 2008
    - Windows 10
github Electron <= 1.8.2-beta.3
    - Windows 7
    - Windows 2008
    - Windows 10

不受影响系统：

github Electron 1.8.2-beta.4
github Electron 1.7.11
github Electron 1.6.16

描述：

---

BUGTRAQ  ID: 102796
CVE(CAN) ID: CVE-2018-1000006

Electron是GitHub开发的一个开源框架。

GitHub Electron <= 1.8.2-beta.3, <= 1.7.10, <= 1.6.15版本在协议处理程序中存在安全漏洞，在Windows 10/7/2008上若使用自定义协议处理程序（custom protocol handlers），则可能导致远程执行代码。

该漏洞源于应用程序在设计时，将自身注册为协议的默认处理程序（例如myapp://），无论协议是如何注册的，例如本机代码，Windows注册表或者Electron的app.setAsDefaultProtocolClient的API，都会受到影响。

<*来源：vendor
  
  链接：https://www.exploit-db.com/exploits/43899/
*>

建议：

---

厂商补丁：

github
------
Electron官方已经发布了最新版本，修复了上述漏洞，受影响的用户请尽快更新升级进行防护。

v1.8.2-beta.4
https://github.com/electron/electron/releases/tag/v1.8.2-beta.4
v1.7.11
https://github.com/electron/electron/releases/tag/v1.7.11
v1.6.16
https://github.com/electron/electron/releases/tag/v1.6.16

若用户暂时不便升级，可以在调用app.setAsDefaultProtocolClient的API时，附加--作为最后的参数。--表示着命令选项的结束，可以防止潜在的恶意选项。  

参考链接：
https://electronjs.org/docs/api/app#appsetasdefaultprotocolclientprotocol-path-args-macos-windows

浏览次数：1952
严重程度：0（网友投票）