聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
波兰安全公司REDTEAM.PL 的联合创始人兼安全研究员 Pawel Wylecial 发布了Safari 0day 漏洞的详情。该漏洞可被滥用于泄露或窃取用户设备上的文件。
今年春季,Wylecial 将该 bug 报告给苹果公司,但苹果决定延迟到2021年春季才修复该漏洞,因此他决定公开自己的研究成果。
Bug 的工作原理
Wylecial 在博客文章中表示,该 bug 存在于 Safari的 Web Share API 实现中。Web Share API是一种新的 web 标准,引入了共享文本、连接、文件和其它内容的跨浏览器 API。
Wylecial 指出,Safari(iOS 和 macOS 版本)支持共享存储在用户本地硬盘上的文件(通过file://URI图式)。这是一个严重的隐私问题,因为该 bug 可导致恶意网页诱骗用户通过邮件和朋友共享文章,但实际上却从用户设备上秘密嗅探或泄露文件。
Wylecial 认为该漏洞“并不十分严重”,因为诱骗用户泄露本地文件要求用户交互和复杂的社工技术。然而,他确实证实称攻击者很容易“使共享文件对用户不可见”。
苹果打补丁流程备受诟病
然而,真正的问题并不在该 bug 本身以及利用该 bug 的难度有多大,而是苹果处理漏洞报告的方式。苹果公司不仅未能在收到漏洞报告的四个多月内推出补丁,反而试图说服研究员在来年春季再发布补丁,几乎是漏洞披露后的一年,远超标准的90天漏洞披露期限。
如今,Wylecial 面临的情况在 iOS 和 macOS 漏洞猎人中间并不罕见。苹果公司虽然专门推出漏洞奖励计划,但越来越因为试图噤声安全研究员而饱受诟病。
例如,当 Wylecial 发布 Safari 0day 漏洞的博客文章后,其他研究员也说明了自己曾被苹果公司要求在一年多之后发布漏洞详情的情况。
今年7月份,苹果公开安全研究设备计划规则,但谷歌 Project Zero 团队拒绝参加,声称该计划规则的目的是为了限制公开披露漏洞并噤声研究员。三个月前,另外一名研究员也公开了类似经历,它表示苹果的漏洞奖励计划就是个“笑话”,目的是尽力“拖延研究员公开漏洞的时间”。
苹果尚未就此事置评。
Wylecial 博客文章:
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
推荐阅读
我一口气发现7个Safari 0day,苹果奖了7.5万美元
苹果会修复这个 0day吗?有人借机发布越狱包且适用于当前iOS 版本
原文链接
https://www.zdnet.com/article/security-researcher-discloses-safari-bug-after-apple-delays-patch/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~