Release date: 2 December 2021
セキュリティの更新
- UiPath Assistant デスクトップ アプリケーションでは URI ハンドラーを登録しているため、ユーザーが Web アプリケーション内の特定のリンクをクリックした際にアプリケーションを開くことができます。この機能は、サインイン、通知、およびエラー メッセージの表示に使用されています。
- 本リリースでは、Assistant のユーザー インターフェイスで発生していた、プロセス名のコマンド ライン パラメーターの問題を修正しました。この機能は、エラーが発生したプロセスの名前に関する詳細をユーザーが確認できるようにするためのものですが、悪意のある Web ページがデスクトップ アプリケーションを開き、Assistant のインターフェイスに任意のテキストを表示できるようになっていました。
- また、ウィジェットを識別するコマンド ライン パラメーターの問題も修正しました。この機能は、ユーザーがコマンド ラインから Assistant ウィジェットを開発・実行できるようにするためのものですが、悪意のある Web ページがデスクトップ アプリケーションを開き、ネットワーク共有を使用してウィジェットのリモート ファイルの場所を挿入できていました。
- なお、これらの問題がアプリケーションの悪用に直接つながることはありません。悪意のあるリンクを開き、UiPath Assistant でカスタム リンクを開くようユーザーに求めるブラウザー ダイアログで確認操作を行わない限り、悪用されることはありません。
上記の更新に関する追加情報は、以下のリンク先のページで確認できます。
More details can be found in the advisory section of the UiPath Trust Portal.
Erratum 16 December 2021: added links to the UiPath Trust Portal advisory for these issues.
7 か月前に更新