พบช่องโหว่ใน Electron Framework ผู้ใช้และนักพัฒนาควรอัพเดตด่วน

Electron เป็น Cross Platform Framework ตัวหนึ่งที่โค้ชพลเคยแนะนำไปช่อง YouTube ซึ่งจุดเด่นของมันคือการทำให้นักพัฒนาเว็บ สามารถสร้าง Desktop Application ที่นำไปใช้งานบนระบบ Windows, MacOS, และ Linux ได้ภายในการเขียนโค้ดครั้งเดียว

แต่เมื่อวาน ได้มีการรายงานออกมาว่า Electron Framework นั้น มีช่องโหว่ที่สามารถเปิดให้แฮกเกอร์สามารถเข้าไปแก้ไขการทำงานในตัวแอพพลิเคชั่นที่ใช้ Framework นี้ได้ มาดูกันว่ามันคืออะไร

ช่องโหว่ของ Electron: nodeIntegration

ช่องโหว่นี้ (รหัส CVE-2018-1000136) ค้นพบโดย Brendan Scarvell. เป็นนักวิจัยด้านความปลอดภัยมือฉกาจจากบริษัท Trustwave ซึ่งรายละเอียดมีดังนี้

1. โปรแกรมที่สร้างด้วย Electron สามารถใช้ภาษา JavaScript ในการติดต่อกับระบบปฏิบัติการผ่าน Node ได้ เช่นการเขียนไฟล์ สร้างไฟล์
2. โดยปกติแอพที่ไม่ใช้งานส่วนนี้ จะปิดความสามารถนี้เอาไว้เป็นค่าเริ่มต้น
3. ช่องโหว่ของ Electron Framework ที่เวอร์ชั่นต่ำกว่า 1.7.13 สามารถให้แฮกเกอร์กลับมาเปิดความสามารถนี้ได้ และรันโค้ดเพื่อจุดประสงค์บางอย่างบนเครื่องคอมได้

ด้านเทคนิคสามารถอ่านได้เต็มๆ ที่นี่ครับ

โปรแกรมอะไรบ้างที่ควรอัพเดต?

Electron นั้นได้รับการพิสูจน์ตัวเองในเรื่องความสามารถ จากที่บริษัทเจ้าดังๆ นำไปใช้พัฒนาแอพของตัวเองแล้วเช่น

• Github Desktop
• Skype
• Slack
• WordPress.com
• Atom Editor
• Visual Studio Code (ตัวนี้โค้ชพลมีทำวิดีโอแนะนำการ “รีด” พลังให้การใช้มัน ชิลลลล ที่สุดด้วยนะ)

ใครที่ใช้โปรแกรมพวกนี้อยู่ อย่าลืมอัพเดตแอพให้เป็นเวอร์ชั่นล่าสุดด้วยล่ะ เพราะเท่าที่ไล่เช็คดู ทุกตัวในรายการออกอัพเดตแล้ว

นักพัฒนาจะอัพเดตโปรเจคยังไง?

ถ้าเรามีโปรเจค Electron ในเครื่อง ให้ทำการรันคำสั่งด้านล่างนี้ จากโฟลเดอร์ของโปรเจค

npm update electron --save

จากนั้นก็ปล่อยอัพเดตให้ลูกค้ากันได้เลย

สนใจเรียนรู้ Node.js และสร้างแอพ Desktop แบบ Cross Platform

หากอยากเริ่มต้นกับการเขียนโปรแกรมด้วย Node.js และต่อยอดไปในแพลตฟอร์มอื่นๆ ก็สามารถทักเข้ามาที่แฟนเพจ หรือโทร 083-071-3373 เพราะปัจจุบันก็มีหลักสูตรที่ไปจัดอบรมที่องค์กรหลายแบบแล้ว เช่น

• Node.js + สร้างเว็บแอพด้วย MEAN Stack (เฉพาะบริษัท และองค์กร)
• Node.js + สร้างแอพ iOS และ Android แบบ Cross Platform ด้วย Ionic Framework และ Angular
• Node.js + สร้างแอพ iOS และ Android แบบ Cross Platform ด้วย React Native (เฉพาะบริษัท และองค์กร)
• Node.js + สร้างแอพ Desktop แบบ Cross Platform ด้วย Electron Framework (เฉพาะบริษัท และองค์กร)

หรือแบบเต็มสูบ (ใช้เวลาเยอะหน่อย แต่ได้ครบทุกวงจร)

หลักสูตร “All Application Development สำหรับนักพัฒนาเว็บ” ได้เรียน และฝึกใช้งาน

1. Node.js
2. สร้างเว็บแอพ และ Web API ด้วย MEAN Stack
3. สร้างแอพ iOS และ Android แบบ Cross Platform
4. สร้างแอพ Desktop แบบ Cross Platform

ยังไงก็โทรมาสอบถามก่อนได้ที่ 083-071-3373 ครับ