EPub 服务漏洞同时影响亚马逊、苹果和 Google 阅读器
近日,安全专家 克雷格·阿伦特(@craig_arendt)发现基于 EPub 服务的各大电子阅读器漏洞,能够同时影响亚马逊、苹果、谷歌等厂商。开源的 Java 库 “EpubCheck”被用于将内容转换为通用电子书格式,专家在 EpubCheck 库中发现了 XXE 漏洞可影响主要的 EPub 服务,或可导致信息泄露和拒绝服务。
EPub(Electronic Publication的缩写,意为:电子出版),是一个自由的开放标准,其文字内容可以根据阅读设备的特性,以最适于阅读的方式显示。(百度百科)
此次漏洞会影响支持 EPub 的服务和阅读器,如:
EpubCheck <= 4.0.1 (验证 EPub 的工具)
Adobe Digital Editions <= 4.5.2 (电子书阅读器)
亚马逊 KDP (Kindle 在线出版服务)
Apple Transporter
以及 Google电子书上传服务等
研究人员着重测试过 “EpubCheck” ,发现了 XML 外部实体注入(XXE)问题。“验证工具(EpubCheck)易受 XXE 攻击,因此任何依赖此版本工具来检查图书有效性的应用程序都容易受到这种类型的攻击。”阿伦特解释称,亚马逊的 Kindle 文件上传服务存在一个 XXE 漏洞,或可被攻击者利用来窃取书籍和资料;类似的漏洞也影响 Apple Transporter 服务,攻击者能将恶意 *** 的图书发送到 App Store,在 EPub 解析过程中可能导致用户信息泄露;Google Play 图书服务虽不受 XXE 漏洞的影响,但专家发现了触发 XML 实体扩展漏洞的可能性,攻击者能够利用漏洞通过爆炸式增长的数据解析请求来导致拒绝服务。
目前,以上所有供应商都已对易受攻击的 EPub 漏洞进行了修复。
稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
“EPub 服务漏洞同时影响亚马逊、苹果和 Google 阅读器” 的相关文章
研究人员发现针对乌克兰的第 3 款擦除恶意软件
研究人员近日发现了针对乌克兰计算机的新型擦除恶意软件(以破坏关键文件和数据为目的),这是俄乌冲突以来发现的第 3 款擦除恶意软件。 这种被称为 CaddyWiper 的恶意软件是由总部位于斯洛伐克的网络安全公司 ESET 的研究人员发现的,他们在周一发布的推文中分享了细节。 据研究人员称,该...
谷歌解释野外攻击为何增加 浏览器安全形势在稳中向好
上周,Chrome Security 团队的 Adrian Taylor,在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势,归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队,也有对包括 WebKit、IE、Flash、...
研究报告显示 2021 年加密货币牛市使犯罪分子更加富有
根据区块链数据公司Chainalysis的一份报告,在2021年底,网络犯罪分子拥有超过110亿美元与非法活动有关的加密货币,比2020年底的30亿美元有了飞速的增长。最有利可图的犯罪行为是盗窃。据该公司称,犯罪分子、加密货币钱包中93%的资金是由价值98亿美元的被盗币构成。 为了找到这些数字,Ch...
加密货币使勒索软件的使用变得更加普遍
眼下,勒索软件已经成为互联网上的一种趋势,它的目标包括企业、政府机构、医院和学校。这是一个几十年前就存在的问题,但在过去几年中变得非常普遍。最初,黑客以个人为目标,要求提供几百美元的比特币,但现在他们追求更大的目标,他们可以勒索更大的金额,并且被勒索放在没有电脑和服务器的情况下无法继续正常使用 密...
SIM卡调换黑客被捕,曾盗窃受害者银行账户
Hackernews 编译,转载请注明出处: 西班牙国家警察局(National Police ía Nacional)上周表示,该局捣毁了一个未命名的网络犯罪组织,并逮捕了8名涉嫌与一系列以金融欺诈为目的的 SIM 卡调换攻击有关的罪犯。 犯罪团伙的嫌疑人伪装成银行和其他组织有信任力的代表,使用...
卡巴斯基:IcedID 网银木马新变种正在疯狂传播
卡巴斯基研究人员称,一款 IcedID 网银木马的新变种正在迅速传播,检测峰值甚至达到了每日 100 个。截止 2021 年 3 月,其在德国(8.58%)、意大利(10.73%)、印度(11.59%)和美国(10.73%)等地区的传播力最为显著。与旧版木马相比,新变种利用了修改过的英文下载器,其中...
评论列表
发表评论
