Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Исследователь, специализирующийся на поиске уязвимостей, Крейг Арендт сообщил о найденных брешах в популярных программах для чтения электронных книг от таких производителей как Apple, Google и Amazon.

Похожий недостаток затрагивает также все онлайн сервисы для чтения книг в формате epub, который используют библиотеку EpubCheck.

«Я применил стандартную схему XXE-атаки для того, чтобы проэксплуатировать уязвимости в сервисах и программах для чтения формата epub. EpubCheck, Adobe Digital Editions, Amazon KDP, Apple Transporter, и Google Play Book оказались уязвимы к этой атаке. Проблема заключается в валидаторе EpubCheck, который выполняет проверку книг в формате epub. Из этого можно сделать вывод, что любой сервис, либо читалка, использующая этот валидатор, уязвима» - заявляет эксперт.

Вышеуказанные производители выпустили патчи, предотвращающие возможное раскрытие информации и отказ в обслуживании. Также исследователь отметил, что сервис загрузки файлов Amazon KDP Kindle, призванный помочь издателям загружать свои книги, страдает от XXE-уязвимости, которая может позволить злоумышленнику украсть книги и данные. Transporter от Apple имеет ту же брешь.

Google Play Books оказался неуязвим к XXE-атаке, но имеет другой недостаток, способный привести к отказу в обслуживании. Арендт говорит, что он будет раскрывать дальнейшие подробности после того, как все производители выпустят патчи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru