MADRID, 14 May. (EDIZIONES/Portaltic) -
La compañía de ciberseguridad TrustWave ha advertido sobre una vulnerabilidad presente en la herramienta de desarrollo multiplataforma Electron, que sirve como base a aplicaciones web como Slack o Skype, por la que se pueden modificar los privilegios del sistema.
La vulnerabilidad, nombrada como CVE-2018-1000136, afecta a todas las versiones de la herramienta, betas incluidas, que además de a las API, permitía la ejecución de código de forma remota a través de un nodo externo, según ha alertado el experto en ciberseguridad Brendan Scarvell a través de la web de TrustWave.
Electron es una plataforma abierta que permite desarrollar aplicaciones web utilizando de forma conjunta los lenguajes HTML, JavaScript y CSS para que el 'software' sea compatible con varias plataformas. En la actualidad, se utiliza para un total de 577 aplicaciones entre las que destacan algunas como Slack, Skype, Signal, Visual Studio Code y GitHub Desktop.
Con la vulnerabilidad, los ciberatacantes pueden acceder a varios de los elementos de Electron, en su mayoría con permisos menores, pero desde los que resulta posible acceder a la configuración parental o incluso modificar y ejecutar los privilegios del sistema.
Electron ya ha solucionado la brecha a través de su último parche, que ha distribuido entre los desarrolladores de todas sus aplicaciones para que terminen con la vulnerabilidad. La compañía de ciberseguridad ha recomendado también a los usuarios que actualicen las aplicaciones afectadas.
