Исследователь безопасности опубликовал подробную информацию об ошибке в Safari браузер Apple, которые могут быть использованы злоумышленниками Хакеры для кража или утечка файлов со своих устройств пользователь.
Ошибка была обнаружена Павел Вылециял, соучредитель польской компании безопасность REDTEAM.PL.
Wylecial сообщил об ошибке в Apple весной и, в частности, в апреле, но Исследователь решил опубликовать свои выводы сейчас, когда производитель ОС не спешил исправлять ошибка и планирует это на весну 2021 года, то есть на год позже.
Как работает ошибка браузера Safari?
В своем блоге Wylecial сказал, что ошибка в Web Share API браузера Safari - новый веб-стандарт, представленный кроссбраузерным API разрешение совместного использования текста, ссылок, файлов и другого содержимого.
Исследователь безопасности говорит, что Safari (на iOS и macOS) поддерживает совместное использование файлов, хранящихся на его локальном жестком диске. пользователь (через схему URI file: //).
Это важная проблема безопасности, поскольку она может привести к ситуациям, когда вредоносные страницы могут их приглашать пользователи поделиться статьей по электронной почте, но в конечном итоге открыть файлы со своего устройства.
На видео ниже вы можете увидеть, как работает ошибка:
Однако Wylecial описал ошибку как "не слишком серьезно" в качестве требуется взаимодействие с пользователем и социальная инженерия обманывать пользователей и разоблачать локально архив. Однако он признал, что злоумышленникам было очень легко «сделать открытый файл невидимым для пользователя».
Обзор в Apple за то, как она управляет патчи
Однако настоящая проблема здесь не только в ошибке самого браузера Safari и в том, насколько легко или сложно его использовать. Проблема в том, как Apple обработала отчет об ошибке.
В Apple не успел подготовить патч (прошло более четырех месяцев). К тому же, пытался отложить публикацию результатов исследователем до весны следующего года, почти целый год с момента первоначального сообщения об ошибке и по истечении «Срока устранения уязвимости», установленного в 90 дней.
Ситуации, подобные той, с которой пришлось столкнуться Wylecial, становятся все более распространенными среди охотников за ошибками iOS и macOS.
Apple - несмотря на объявление о программе вознаграждения за ошибки - все чаще обвиняют в том, что он откладывает ошибки и пытается убедить исследователей не публиковать свои открытия.
Например, когда Wylecial обнаружил сегодня ошибку браузера Safari, другие исследователи сообщили о похожих ситуациях, когда Apple не спешила исправлять ошибки. безопасность.
Когда Apple объявила правила программы в июле Устройство исследования безопасности, его команда безопасности Project Zero Google отказался от участия, заявив, что по правилам программы были написаны специально для ограничения публичного раскрытия информации.
Три месяца назад, в апреле, другой исследователь безопасности также привел аналогичный опыт с программой Apple bug bounty, которую он назвал «забавной», заявив, что цель программы - «держать рот исследователей на замке как можно дольше». насколько это возможно ".
Greek
Chinese (Simplified)
English
Greek
Russian