Bug Hunter Craig Arendt ha informado de vulnerabilidades en los principales lectores de libros electrónicos, incluidos los de Apple, Google y Amazon.
"La herramienta de validación (EpubCheck) era vulnerable a XXE, por lo que cualquier aplicación que fue posteriormente ensamblada a una versión vulnerable de comprobar la validez de un libro sería susceptible a este tipo de ataque."
Se han lanzado parches y aplicados para prevenir la información de posible divulgación y la negación de las condiciones de servicio.
Arendt (@craig_arendt) dice que los servicios de carga de archivos PDK Amazon Kindle diseñados para ayudar a los editores cargar libros sufría de una falla XXE que podría permitir a los atacantes robar libros y datos.
En un caso Arendt agarró accidentalmente el archivo de contraseñas ocultas por un departamento no identificado utilizando la biblioteca EpubCheck vulnerables.
Google Play Books ¿No era vulnerable a la meta XXE Fue a la entidad XML desorden expansión exponencial, un defecto que conduce a la denegación de servicio a través de un crecimiento explosivo de los datos analizados.
Fecha actualización el 2017-6-25. Fecha publicación el 2017-1-27. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio