Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Олег Иванов 27 Января 2017 - 19:00

...

Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Исследователь, специализирующийся на поиске уязвимостей, Крейг Арендт сообщил о найденных брешах в популярных программах для чтения электронных книг от таких производителей как Apple, Google и Amazon.

Похожий недостаток затрагивает также все онлайн сервисы для чтения книг в формате epub, который используют библиотеку EpubCheck.

«Я применил стандартную схему XXE-атаки для того, чтобы проэксплуатировать уязвимости в сервисах и программах для чтения формата epub. EpubCheck, Adobe Digital Editions, Amazon KDP, Apple Transporter, и Google Play Book оказались уязвимы к этой атаке. Проблема заключается в валидаторе EpubCheck, который выполняет проверку книг в формате epub. Из этого можно сделать вывод, что любой сервис, либо читалка, использующая этот валидатор, уязвима» - заявляет эксперт.

Вышеуказанные производители выпустили патчи, предотвращающие возможное раскрытие информации и отказ в обслуживании. Также исследователь отметил, что сервис загрузки файлов Amazon KDP Kindle, призванный помочь издателям загружать свои книги, страдает от XXE-уязвимости, которая может позволить злоумышленнику украсть книги и данные. Transporter от Apple имеет ту же брешь.

Google Play Books оказался неуязвим к XXE-атаке, но имеет другой недостаток, способный привести к отказу в обслуживании. Арендт говорит, что он будет раскрывать дальнейшие подробности после того, как все производители выпустят патчи.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Взломан сайт аэропорта Пулково

Яков Шпунт 19 Сентября 2025 - 14:09

Атаки на сайты Взлом сайтов Кибервойны Целевые атаки Таргетированные атаки Общее

Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.

«Сайт аэропорта Пулково сегодня был взломан. Его работа на данный момент ограничена. Приносим извинения за временные неудобства. Ведутся работы по восстановлению», — сообщили в телеграм-канале Пулково.

Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.

«Взлом сайта — это не взлом компании. Да, подобные случаи заметны и сразу попадают в новости, но сам сайт — лишь точка входа. Если инфраструктура выстроена правильно, дальше дело не пойдёт. Обычно сайты размещаются в изолированной среде и имеют только необходимые подключения к внешним сервисам. Поэтому пока причин для паники нет», — прокомментировал ТАСС Сергей Полунин, глава группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Напомним, днём ранее сообщалось о сбое в работе авиакомпании «КрасАвиа», с большой вероятностью вызванном кибератакой.

В конце июля также произошла атака на «Аэрофлот», ответственность за которую взяли две проукраинские хактивистские группировки. Тогда были отменены несколько десятков рейсов.