Ketika menginstall aplikasi melalui Microsoft Store atau mengunduh paket aplikasi dan kemudian menginstall aplikasi secara manual dengan file MSIX, biasanya aplikasi tersebut diinstall dan diperbarui dari situs web dengan menggunakan protokol ‘ms-appinstaller:?source=’.
Dapat dikatakan juga bahwa dengan protokol ms-appinstaller, itu akan memungkinkan pengguna untuk menginstall dan memperbarui aplikasi tanpa harus mendownload seluruh paket MSIX, tentu ini akan sangat bermanfaat sekali untuk para pengguna.
Namun, dalam peringatakan vulnerability yang dirilis dibawah CVE-2021-43890, yang sebenarnya sudah diperbaiki, namun ternyata perbaikan tidak berpengaruh pada protokol, seperti yang dijelaskan Microsoft berikut.
Attacker could spoof App Installer to install a package that the user did not intend to install .We are actively working to fix this vulnerability. Currently we have disabled the ms-appinstaller log. This means that App Installer will not be able to install an application directly from a web server. Instead, users must first download the app on their device and then install the package using App Installer. This may increase the download size for some packages.”
Dengan itu, Microsoft menyarankan pemilik situs web untuk menghapus link “ms-appinstaller:?source=” dari halaman hingga masalah ini diperbaiki. Mengenai hal ini pula, saat ini Microsoft sedang mengerjakan cara untuk mengintegrasikan group policy untuk mengaktifkan kembali protokol.
Untuk lebih jelasnya, kamu bisa mempelajari mengenai hal ini pada halaman Microsoft berikut.
Via : Microsoft
