Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Олег Иванов 27 Января 2017 - 19:00

...

Эксперт обнаружил уязвимости в сервисах Amazon, Apple и Google

Исследователь, специализирующийся на поиске уязвимостей, Крейг Арендт сообщил о найденных брешах в популярных программах для чтения электронных книг от таких производителей как Apple, Google и Amazon.

Похожий недостаток затрагивает также все онлайн сервисы для чтения книг в формате epub, который используют библиотеку EpubCheck.

«Я применил стандартную схему XXE-атаки для того, чтобы проэксплуатировать уязвимости в сервисах и программах для чтения формата epub. EpubCheck, Adobe Digital Editions, Amazon KDP, Apple Transporter, и Google Play Book оказались уязвимы к этой атаке. Проблема заключается в валидаторе EpubCheck, который выполняет проверку книг в формате epub. Из этого можно сделать вывод, что любой сервис, либо читалка, использующая этот валидатор, уязвима» - заявляет эксперт.

Вышеуказанные производители выпустили патчи, предотвращающие возможное раскрытие информации и отказ в обслуживании. Также исследователь отметил, что сервис загрузки файлов Amazon KDP Kindle, призванный помочь издателям загружать свои книги, страдает от XXE-уязвимости, которая может позволить злоумышленнику украсть книги и данные. Transporter от Apple имеет ту же брешь.

Google Play Books оказался неуязвим к XXE-атаке, но имеет другой недостаток, способный привести к отказу в обслуживании. Арендт говорит, что он будет раскрывать дальнейшие подробности после того, как все производители выпустят патчи.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Ноября 2025 - 19:08

Система контроля действий поставщиков ИТ-услуг (СКДПУ НТ) Корпорации Контроль привилегированных пользователей (PAM) АйТи БАСТИОН

СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кастомизации

Компания «АйТи Бастион» представила новую версию своей PAM-системы СКДПУ НТ 2.3.3. Обновление включает встроенный менеджер паролей «Персональные сейфы» и расширенные возможности кастомизации интерфейса через подсистему Портал доступа.

Новый модуль «Персональные сейфы» позволяет централизованно хранить пароли, ключи и сертификаты, контролировать сроки их действия и качество, а также безопасно делиться доступами между сотрудниками и командами.

В систему встроен генератор надёжных паролей, а управление осуществляется через единый интерфейс, что упрощает администрирование.

В обновлении также реализована возможность запускать несколько экземпляров Портала доступа с разными пользовательскими настройками на одном узле системы.

Это позволяет компаниям гибко адаптировать интерфейс под свои задачи и экономить вычислительные ресурсы. Пользователь теперь может работать с тем экземпляром портала, который связан с нужным ему сегментом сети.

Кроме того, добавлен просмотр списка всех узлов СКДПУ НТ через интерфейс головного узла, что делает администрирование более прозрачным.

Разработчики также улучшили поддержку подключений по ярлыку APP и внесли ряд изменений, направленных на повышение стабильности и удобства работы.

Обновление, по сути, делает систему более гибкой и управляемой, облегчая работу администраторов в сложных и распределённых инфраструктурах.