首页保安Safari浏览器:检测到错误,因为Apple延迟了补丁

Safari浏览器:检测到错误,因为Apple延迟了补丁

Safari浏览器

安全研究员 在Safari中发布错误的详细信息 浏览器 苹果 可以被恶意用户使用 黑客 为了 从其设备中窃取或泄漏文件 用户.

错误是由发现的 帕维尔·威莱西亚l,波兰公司联合创始人 安全 REDTEAM.PL。

Wylecial于春季(特别是XNUMX月)向Apple报告了该错误,但 由于操作系统制造商修复问题的速度很慢,因此研究人员已决定发布其发现。 错误 并计划在2021年春季,也就是一年后。

Safari浏览器错误如何运作?

Wylecial在一篇博文中说,该错误已存在 网络共享API Safari浏览器的 -一个新的 跨浏览器API引入的Web标准 允许文本,链接,文件和其他内容共享。

安全研究人员说,Safari(在iOS和macOS上)支持存储在其本地硬盘上的文件共享 用户 (通过文件:// URI方案)。

这是一个重要的安全问题,因为它可能导致以下情况: 恶意网页可能会邀请他们 用户 通过电子邮件共享文章,但最终暴露了设备中的文件。

在下面的视频中,您可以看到错误的工作原理:

但是,Wylecial将错误描述为“不太严重作为 需要用户交互和社会工程 欺骗用户并在本地公开 档案。 但是,他承认入侵者“使暴露的文件对用户不可见”也很容易。

苹果错误
审核中 苹果的管理方式 补丁

但是,真正的问题不只是Safari浏览器本身的错误以及使用起来的难易程度。 问题是苹果如何处理错误报告。

苹果 未能及时准备补丁 (已经过去了四个多月)。 此外, 试图将研究人员的发现推迟到明年春季发布, 从错误的初次报告开始,几乎是整整一年,并且超出了“漏洞报告截止时间”(设定为90天)。

像Wylecial那样必须处理的情况在iOS和macOS错误搜寻者中变得越来越普遍。

苹果-尽管宣布了漏洞悬赏计划- 越来越多的人被指控延迟错误,并试图说服调查人员不要公开他们的发现。

例如,当Wylecial今天发现Safari浏览器错误时,其他研究人员报告了类似的情况,其中Apple修复错误的速度很慢。 安全.

苹果在XNUMX月宣布该计划的规则时 安全研究设备,其“零项目”安全团队 谷歌 拒绝参加,声称该计划的规则 是专门为限制公开披露而写的。

三个月前,也就是四月,另一位安全研究人员也引用了与苹果的漏洞赏金计划类似的经历,他将其描述为“搞笑”,称该计划的目标是“尽可能长时间地保持研究人员的嘴巴”。越多越好 ”。

数字要塞https://www.secnews.gr
追求梦想与生活!

实时新闻