Release date: 2 December 2021

セキュリティの更新

• UiPath Assistant デスクトップ アプリケーションでは URI ハンドラーを登録しているため、ユーザーが Web アプリケーション内の特定のリンクをクリックした際にアプリケーションを開くことができます。この機能は、サインイン、通知、およびエラー メッセージの表示に使用されています。
  • 本リリースでは、Assistant のユーザー インターフェイスで発生していた、プロセス名のコマンド ライン パラメーターの問題を修正しました。この機能は、エラーが発生したプロセスの名前に関する詳細をユーザーが確認できるようにするためのものですが、悪意のある Web ページがデスクトップ アプリケーションを開き、Assistant のインターフェイスに任意のテキストを表示できるようになっていました。
  • また、ウィジェットを識別するコマンド ライン パラメーターの問題も修正しました。この機能は、ユーザーがコマンド ラインから Assistant ウィジェットを開発・実行できるようにするためのものですが、悪意のある Web ページがデスクトップ アプリケーションを開き、ネットワーク共有を使用してウィジェットのリモート ファイルの場所を挿入できていました。
  • なお、これらの問題がアプリケーションの悪用に直接つながることはありません。悪意のあるリンクを開き、UiPath Assistant でカスタム リンクを開くようユーザーに求めるブラウザー ダイアログで確認操作を行わない限り、悪用されることはありません。

上記の更新に関する追加情報は、以下のリンク先のページで確認できます。

• UiPath Assistant - Content injection via URI handler
• UiPath Assistant - Remote Code Execution

More details can be found in the advisory section of the UiPath Trust Portal.

Erratum 16 December 2021: added links to the UiPath Trust Portal advisory for these issues.