严重漏洞影响了使用Electron JS框架构建的Windows应用程序

Electron是一个流行的Web应用程序框架。目前已经有了一个严重的远程代码执行漏洞的报告，该漏洞允许远程执行代码。该框架支持数以千计的广泛使用的桌面应用程序，包括Skype，Signal，Wordpress和Slack。

Electron是一个基于Node.js和Chromium引擎的开源框架，允许应用程序开发人员为Windows，MacOS和Linux构建跨平台的本地桌面应用程序，而无需了解每个平台使用的编程语言。

CVE-2018-1000006编号漏洞只影响在Microsoft Windows上运行的应用程序，恶意代码可以接管myapp://之类的协议，成为这些协议的默认处理程序。

Electron在周一发布的一份咨询报告中表示：“无论协议是如何注册的，例如使用本地代码，Windows注册表或Electron的app.setAsDefaultProtocolClient API，这些应用程序都会受到影响。

Electron团队还确认，为苹果的macOS和Linux设计的应用程序不容易受到这个问题的影响，包括windows中那些没有注册为myapp://协议的默认处理程序的应用程序也不容易受到影响。

Electron开发者已经发布了两个新的版本，即1.8.2-beta.4,1.7.11和1.6.16，以修补这个严重的漏洞。

该公司说：“如果由于某种原因，用户无法升级Electron版本。用户可在调用app.setAsDefaultProtocolClient时追加最后一个参数，这样可以防止Chromium解析多余的选项。

用户对此漏洞没有什么可以做的; 而使用了Electron JS框架的开发人员必须立即升级他们的应用程序来保护他们的用户。

因为安全原因，远程代码执行漏洞的更多细节还没有被公开，也没有指出具有该漏洞的APP名称来。

我们会尽快更新该漏洞的更多细节。

原文链接：https://thehackernews.com/2018/01/electron-js-hacking.html
本文由看雪翻译小组 knowit 编译

因特尔停止broadwell和hashwell系统的spectre、meltdown补丁

Intel 建议OEM用户及合作商停止为Spectre/Meltdown漏洞打补丁，因为有大量报告更新会给称运行Broadwell和Hashwell处理器的系统，造成重启的问题。

我们建议OEM、云服务提供商、系统制造商、软件制造商及后端用户停止目前版本的更新，因为更新可能会对系统造成现已出现的重启反应或更糟糕，还有其他意想不到的结果。因特尔的执行副总裁及数据中心部总经理Navin Shenoy周一在其博客中，如此写到。

戴尔的EMC也是受到影响的几种OEM之一。戴尔已向顾客发出警告暂不修复Spectre漏洞，修复固件BIOS中的Spectre漏洞可导致系统错误。

戴尔已将BIOS升级从支持界面移除。目前正在与因特尔共同开发BIOS新升级，包含有新代码。如果你已经升级，为了避免系统出现错误，建议你再恢复到以前的版本。

spectre和meltdown的补丁问题从两周前开始浮现，因特尔对此做出相当诚恳的响应。但技术人员却对因特尔的补丁发出猛烈攻击。例如，Linux的创始人Linus Torvalds就在一个Linux论坛中写道intel的补丁都是垃圾，并质疑因特尔此举动的目的。

Spectre和Meltdown CPU漏洞的补丁目前正处于不稳定的状态，受此影响的用户除了等待，没有其他办法。

来源：threatpost

本文由看雪翻译小组 哆啦咪 编译