来源：开源中国

链接：http://www.oschina.net/news/92813/electron-protocol-handler-fix

近日，Electron 被发现存在远程攻击漏洞并易受攻击，漏洞编号为 CVE-2018-1000006。Electron 开发团队表示，只要是使用自定义协议处理程序的 Electron 应用都会受到漏洞影响，如myapp://就易受攻击。受影响的平台是 Windows，macOS 和 Linux 平台暂不存在该漏洞问题。

无论是协议是如何注册的，如使用原生代码、Windows 注册表或 Electron 的app.setAsDefaultProtocolClient API，这些应用程序都可能受到影响，使得黑客远程执行任意程序。

Electron （最初名为 Atom Shell）是 GitHub 开发的一个开源框架，允许使用 JavaScript, HTML 和 CSS 等 Web 技术创建原生程序，Electron 表示，如果你可以建一个网站，你就可以利用 Electron 打造一个桌面 GUI 应用。

目前至少有 460 个跨平台桌面应用程序使用了 Electron 框架，例如 Skype、Slack、GitHub Desktop、Wordpress 和 Signal 等，但并不确定有多少应用受到影响，其中 Signal 已表示自己不受影响。

Electron 已发布新版对漏洞进行修复（1.8.2-beta.4,1.7.11 和 1.6.16），并呼吁所有使用 Electron 的开发者都进行更新，也针对无法立即更新的程序提供了暂时解决方案 —— 可在调用 app.setAsDefaultProtocolClient 时将其作为最后一个参数追加，因为这样能有效防止 Chromium 解析更多的选项。

公告详情：https://electronjs.org/blog/protocol-handler-fix

●本文编号156，以后想阅读这篇文章直接输入156即可

●输入m获取文章目录