В платформе Electron, позволяющей создавать обособленные приложения на основе движка Chromium и системы Node.js, выявлена уязвимость (CVE-2018-1000006), которая может привести к удалённому выполнению кода в приложениях, использующих собственные обработчики протокола. Потенциально проблема может проявляться в Windows-сборках таких приложений, как Skype, Signal, Slack, Basecamp и WordPress Desktop. Детали о способе эксплуатации пока не раскрываются, но судя по всему, для атаки требуется переход по специально оформленной ссылке.

Проблема специфична для Windows и проявляется только на данной платформе, при регистрации приложением своих обработчиков протоколов (например, «slack://» или «skype://») любыми доступными методами, включая API app.setAsDefaultProtocolClient и изменение записи в реестре. Сборки для macOS и Linux проблеме не подвержены. Уязвимость устранена в выпусках Electron 1.6.16, 1.7.11 и 1.8.2-beta.4. Что касается приложений, то проблема уже устранена в Slack 3.0.3 и в свежем обновлении Skype.