L'équipe derrière l'outil, qui empaquette des sites web pour en faire des applications natives, reconnaît la présence d'une faille dans la gestion des handlers. Il s'agit de la capacité d'appeler l'application depuis une adresse spécifique (comme slack://contenu_de_la_requête) sur Windows.

Le clic sur une URL spécialement conçue permet l'exécution du code souhaité par un attaquant. Les versions macOS et Linux de la plateforme ne sont pas affectées. Pour mémoire, Electron est utilisé par de nombreux services, comme Molotov, Signal ou Slack, pour ne citer qu'eux.

GitHub a publié un correctif (versions 1.8.2-beta.4, 1.7.11 et 1.6.16) que les développeurs doivent intégrer au plus vite à leurs logiciels. Notez que c'est par exemple le cas de Slack depuis la version 3.0.3 (nous en sommes à la 3.0.5).