Electron est un framework de développement d'applications HTML, CSS et JavaScript, basé sur Chromium et node.js. Des applications très populaires comme Skype ou Slack sont construites au dessus d'Electron, dans lequel une vulnérabilité critique vient d'être découverte. Cette vulnérabilité a été baptisée 'Vulnérabilité de gestionnaire de protocole'.

Un billet sur le blog d'Electron explique que seuls les utilisateurs sous Windows risquent d'être impactés, car avec ce système d'exploitation, les applications peuvent s'enregistrer comme gestionnaire par défaut pour un protocole spécialisé. Par exemple myapp://. Les utilisateurs sous macOS et Linux ne sont pas vulnérables, souligne le billet.

Cliquer sur un lien commençant par exemple par slack:// présent dans une page web ou un email permet de lancer l'application Slack sous Windows, mais en l'occurrence expose les utilisateurs à la vulnérabilité qui permet l'exécution de code à distance sur leur machine.

L'équipe d'Electron a déjà publié un correctif. Un porte-parole de Slack indique que les versions 3.0.3 et supérieures remédient déjà au problème. Un porte-parole de Microsoft indique que la dernière version de Skype atténue la vulnérabilité.

Tous les développeurs travaillant avec Electron doivent mettre le framework à jour. Bien entendu, tous les utilisateurs de Skype et Slack doivent mettre immédiatement leurs applications à jour.