2018年1月24日(米国時間)、Threatpostに掲載された記事「Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug|Threatpost|The first stop for security news」が、SkypeやSlackなどの複数のアプリケーションに遠隔からコード実行が可能な脆弱性が存在すると伝えた。SkypeやSlackではすでに脆弱性を修正したバージョンを公開している。該当するプロダクトを使用している場合にはアップデートを実施することが望まれる。
Skype for WindowsやSlackはElectronと呼ばれるフレームワークを使用している。今回、このフレームワークに脆弱性が存在することが明らかになった(CVE-2018-1000006)。このため、SkypeやSlack以外でもElectronを使っているアプリケーションには同様の脆弱性が存在する可能性がある。しかし、どのアプリケーションに脆弱性が存在するかは、本稿執筆時点ではわかっていない。
なお、ElectronはWindows、macOS、Linuxなど複数のオペレーティングシステムに対応しているが、脆弱性が存在するのはWindows版のみとされている。
-
Electronに影響するリモートコード実行の脆弱性情報
ElectronはChromium、V8、Node.jsなどの技術を使って構築されたアプリケーションフレームワーク。クロスプラットフォームで利用すること、最新のWeb技術を利用してアプリケーションを開発することが可能なため高い人気がある。
Electronを使って構築されたアプリケーションを使っている場合、開発プロジェクトなどからの発表に注目するとともにアップデートが公開された場合には適用することが望まれる。
