Исследователь обнаружил ошибку утечки данных в Safari после того, как Apple отложила исправление до 2021 года

В понедельник исследователь Павел Уайлесиал обнаружил ошибку Safari после того, как Apple сказал, что выходящий патч придется ждать до весны 2021 года.

Wylecial, основатель польской исследовательской группы REDTEAM.PL, впервые обнаружил и проинформировал Apple об этой проблеме в апреле, отметив, что уязвимость может привести к утечке пользовательской информации и может быть использована для кражи данных как на iOS, так и на Mac, согласно к сообщению в блоге в понедельник.

Ошибка коренится в Apple Web Share API, новом стандарте, который позволяет обмениваться ссылками, файлами и другими данными из браузера через сторонние приложения, сообщает ZDNet . Согласно Wylecial, реализация Apple поддерживает схему file: , то есть общие сообщения могут в некоторых случаях включать файлы из локальной системы.

Wylecial характеризует проблему как низкую степень риска, поскольку для облегчения потенциальной утечки данных требуется взаимодействие с пользователем. Однако он отмечает, что пользователи могут не знать, что они делятся локальными данными, поскольку прикрепленные файлы могут быть в значительной степени «невидимыми» во время процесса.

Как указано ZDNet , более насущная проблема — это то, как Apple обрабатывает отчет об ошибке.

Apple признала, что анализирует проблему примерно через неделю после получения первоначального предупреждения Wyliecial, но несколько последующих запросов на обновление статуса остались без ответа. .

В начале августа Wylecial сообщила компании, что ошибка будет публично раскрыта 24 августа. Apple попросила не делать объявление, заявив, что проблема будет решена. в весеннем обновлении безопасности 2021 года. Считая предложенный график необоснованным, Wylecial решил подробно описать ошибку в своем блоге.

Оцените статью
futurei.ru
Добавить комментарий