Вторник, 23 февраля, 19:28
дома безопасность Браузер Safari: обнаружена ошибка, поскольку Apple задержала выпуск патча

Браузер Safari: обнаружена ошибка, поскольку Apple задержала выпуск патча

Сафари браузера

Исследователь безопасности опубликовал подробную информацию об ошибке в Safari браузер Apple, которые могут быть использованы злоумышленниками Хакеры для кража или утечка файлов со своих устройств пользователь.

Ошибка была обнаружена Павел Вылециял, соучредитель польской компании безопасность REDTEAM.PL.

Wylecial сообщил об ошибке в Apple весной и, в частности, в апреле, но Исследователь решил опубликовать свои выводы сейчас, когда производитель ОС не спешил исправлять ошибка и планирует это на весну 2021 года, то есть на год позже.

Как работает ошибка браузера Safari?

В своем блоге Wylecial сказал, что ошибка в Web Share API браузера Safari - новый веб-стандарт, представленный кроссбраузерным API разрешение совместного использования текста, ссылок, файлов и другого содержимого.

Исследователь безопасности говорит, что Safari (на iOS и macOS) поддерживает совместное использование файлов, хранящихся на его локальном жестком диске. пользователь (через схему URI file: //).

Это важная проблема безопасности, поскольку она может привести к ситуациям, когда вредоносные страницы могут их приглашать пользователи поделиться статьей по электронной почте, но в конечном итоге открыть файлы со своего устройства.

На видео ниже вы можете увидеть, как работает ошибка:

Однако Wylecial описал ошибку как "не слишком серьезно" в качестве требуется взаимодействие с пользователем и социальная инженерия обманывать пользователей и разоблачать локально архив. Однако он признал, что злоумышленникам было очень легко «сделать открытый файл невидимым для пользователя».

Ошибка Apple
Обзор в Apple за то, как она управляет патчи

Однако настоящая проблема здесь не только в ошибке самого браузера Safari и в том, насколько легко или сложно его использовать. Проблема в том, как Apple обработала отчет об ошибке.

В Apple не успел подготовить патч (прошло более четырех месяцев). К тому же, пытался отложить публикацию результатов исследователем до весны следующего года, почти целый год с момента первоначального сообщения об ошибке и по истечении «Срока устранения уязвимости», установленного в 90 дней.

Ситуации, подобные той, с которой пришлось столкнуться Wylecial, становятся все более распространенными среди охотников за ошибками iOS и macOS.

Apple - несмотря на объявление о программе вознаграждения за ошибки - все чаще обвиняют в том, что он откладывает ошибки и пытается убедить исследователей не публиковать свои открытия.

Например, когда Wylecial обнаружил сегодня ошибку браузера Safari, другие исследователи сообщили о похожих ситуациях, когда Apple не спешила исправлять ошибки. безопасность.

Когда Apple объявила правила программы в июле Устройство исследования безопасности, его команда безопасности Project Zero Google отказался от участия, заявив, что по правилам программы были написаны специально для ограничения публичного раскрытия информации.

Три месяца назад, в апреле, другой исследователь безопасности также привел аналогичный опыт с программой Apple bug bounty, которую он назвал «забавной», заявив, что цель программы - «держать рот исследователей на замке как можно дольше». насколько это возможно ".

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ

00: 02: 50

Как узнать, скрывается ли на вашем Mac вредоносная программа Silver Sparrow?

https://www.youtube.com/watch?v=xfld2_BlIOk Ένα νέο malware που στοχεύει τόσο M-series όσο και Intel Macs έχει επηρεάσει περίπου 30.000 συστήματα...

YouTube: как использовать хэштеги для поиска видео

Есть много разных способов найти что-нибудь на YouTube. Вы можете искать заголовки, ограничивать его по каналу или даже ...

Новый электромобиль Hyundai IONIQ 5 впечатляет

К 23 году Hyundai собирается выпустить 2025 электромобиля, и сегодня мы видим первый из них: Ioniq 5, ...

Spotify: новая серия HiFi предлагает потоковую передачу музыки без потерь

Spotify анонсировал новую серию HiFi. На виртуальном мероприятии «Stream On» в понедельник сервис объявил о новом уровне потока без ...

Новые модели MacBook Pro выйдут во второй половине 2021 года

Apple во второй половине 2021 года планирует выпустить две новые модели MacBook Pro, которые будут оснащены ...

GeckoLinux: обновление до GNOME 3.38, KDE 5.21

В прошлом году GeckoLinux на базе openSUSE прибыл с обновленным ISO через два года. Продолжая тактику ...

Призрачная частица, упавшая в Антарктиду, исходит из черной дыры

В новом исследовании, опубликованном в понедельник в журнале Nature Astronomy, ученые подробно описывают обнаружение субатомной частицы ...

Facebook: восстановят новостные страницы в Австралии

После обсуждений между Facebook и правительством Австралии платформа социальных сетей восстановит страницы новостей ...

В домене Apple iCloud обнаружена ошибка XSS

Уязвимость межсайтового скриптинга (XSS) в домене iCloud была исправлена ​​Apple. Искатель ошибок и тестер на проникновение Vishal ...

Поделиться: Насколько опасно размещать фото с детьми

По словам эксперта по безопасности Ритеша Котака, родители, как правило, размещают в социальных сетях около 1.500 фотографий своих детей, прежде чем ...