- Статус
- Offline
- Регистрация
- 22 Июн 2018
- Сообщения
- 1,508
- Реакции
- 13
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Эксперт польской компании REDTEAM.PL Павел Вилесиал (Pawel Wylecial) опубликовал детальный отчет об уязвимости в браузере Safari, которую он обнаружил еще весной текущего года. Проблема в том, что компания Apple решила отложить исправление этого бага до весны 2021 года, а эксперт счел, что так долго ждать нельзя.
По словам Вилесиала, корень проблемы кроется в имплементации Safari Web Share API, кроссбраузерного API для обмена текстом, ссылками, файлами и прочим контентом. Исследователь объясняет, что Safari на iOS и macOS поддерживает совместное использование файлов, которые хранятся на локальном жестком диске пользователя (через URI-схему file://). В итоге это может привести к ситуации, когда вредоносный сайт предложит пользователю Safari поделиться статьей с друзьями, а на самом деле тайно похитит файлы его устройства.
Эксперт признает, что расценивать эту проблему можно как не очень серьезную, ведь для ее использования необходимы взаимодействие с пользователем и социальная инженерия. Однако также он предупреждает, что злоумышленники могут сделать такую атаку практически невидимой для пользователя.
Интересно и то, что компания Apple не просто не сумела подготовить патч для этой проблемы, хотя у специалистов было на это четыре месяца, но также попыталась задержать публикацию отчета Вилесиала с результатами исследования до следующей весны. Когда же польский специалист все же обнародовал данные об ошибке, решив, что дольше ждать нельзя, другие исследователи стали рассказывать о похожих ситуациях, когда Apple откладывала исправление ошибок более чем на год.
Напомню, что в июле текущего года Apple сообщила о расширении своей программы bug bounty, однако тогда многих ИБ-экспертов смутили официальные правила программы и они заявили, что не станут участвовать в подобном. Дело в том, что Apple оставила за собой полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо об уязвимостях в iOS и iPhone. Из-за этого многие специалисты, включая экспертов из Google Project Zero, опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая даты публикаций и не позволяя специалистам предавать проблемы огласке.
По словам Вилесиала, корень проблемы кроется в имплементации Safari Web Share API, кроссбраузерного API для обмена текстом, ссылками, файлами и прочим контентом. Исследователь объясняет, что Safari на iOS и macOS поддерживает совместное использование файлов, которые хранятся на локальном жестком диске пользователя (через URI-схему file://). В итоге это может привести к ситуации, когда вредоносный сайт предложит пользователю Safari поделиться статьей с друзьями, а на самом деле тайно похитит файлы его устройства.
Эксперт признает, что расценивать эту проблему можно как не очень серьезную, ведь для ее использования необходимы взаимодействие с пользователем и социальная инженерия. Однако также он предупреждает, что злоумышленники могут сделать такую атаку практически невидимой для пользователя.
Интересно и то, что компания Apple не просто не сумела подготовить патч для этой проблемы, хотя у специалистов было на это четыре месяца, но также попыталась задержать публикацию отчета Вилесиала с результатами исследования до следующей весны. Когда же польский специалист все же обнародовал данные об ошибке, решив, что дольше ждать нельзя, другие исследователи стали рассказывать о похожих ситуациях, когда Apple откладывала исправление ошибок более чем на год.
Напомню, что в июле текущего года Apple сообщила о расширении своей программы bug bounty, однако тогда многих ИБ-экспертов смутили официальные правила программы и они заявили, что не станут участвовать в подобном. Дело в том, что Apple оставила за собой полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо об уязвимостях в iOS и iPhone. Из-за этого многие специалисты, включая экспертов из Google Project Zero, опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая даты публикаций и не позволяя специалистам предавать проблемы огласке.
