Chrome に高レベルの重大な脆弱性が発見されました。Electron を含む Chromium ベースのすべてのソフトウェアに影響します。
この脆弱性は CVE-2019-13720 と命名されています。 詳細は Chrome ブログ記事 を参照してください。
Chrome でこの脆弱性が悪用されているという報告があります。なるべく早く Electron を更新することを強く推奨します。
影響範囲
これはサードパーティや信頼できない JavaScript を実行する恐れのある Electron アプリケーションに影響します。
緩和策
影響を受けるアプリは、パッチを当てたバージョンの Electron にアップグレードする必要があります。
以下の通り、この脆弱性に対する修正を含む新しいバージョンの Electron を公開しました。
Electron 7.0.1 は、公表前に上流からの修正を自動的に含めました。 Electron 8 も同様に影響を受けません。 Electron 5 にこの脆弱性は存在しなかったため、そのバージョンも影響ありません。
詳細情報
この脆弱性は Kaspersky 研究所の Anton Ivanov と Alexey Kulaev によって発見され、Chrome チームに報告されました。 その Chrome ブログ記事は こちら です。
Electron アプリを堅牢に保つベストプラクティスの詳細は、セキュリティチュートリアル を参照してください。
Electron の脆弱性を報告する場合は、security@electronjs.org にメールでご連絡お願いします。