一位安全研究人员今天发布了有关Safari浏览器漏洞的详细信息,该漏洞可能被滥用以泄露或窃取用户设备中的文件。
该漏洞是由波兰安全公司REDTEAM.PL的联合创始人Pawel Wylecial发现的。
Wylecial最初于今年春天,即4月向苹果报告了该错误,但在OS制造商将该错误的补丁程序推迟了将近一年之后,研究人员决定今天将其发现公开。
Wylecial 在今天的 博客文章中说,该错误存在于Safari的Web Share API实施中一种新的Web标准,引入了跨浏览器的API,用于共享文本,链接,文件和其他内容。
安全研究人员说,Safari在iOS和macOS上都支持共享存储在用户本地硬盘上的文件。
这是一个很大的隐私问题,因为这可能导致恶意网页可能会诱使用户通过电子邮件与朋友共享文章,但最终会秘密地从他们的设备中窃取或泄漏文件。
Wylecial将该错误描述为“不是很严重”,因为需要用户交互和复杂的社会工程来诱使用户泄漏本地文件。但是他也承认,攻击者很容易使用户看不到共享文件。
但是,真正的问题不仅仅在于漏洞本身,以及利用漏洞的难易程度,还在于苹果如何处理漏洞报告。
苹果不仅没有在四个多月后及时准备好补丁,而且公司还试图将研究人员的发现推迟到明年春季才发布,这距原始错误报告发布已经整整一年了,而且超出了标准。信息安全行业普遍接受的90天漏洞披露截止日期。
如今,像Wylecial一样必须面对的情况在iOS和macOS错误搜寻者中变得越来越普遍。
尽管宣布了专门的漏洞赏金计划,苹果公司却越来越多地被指控故意推迟漏洞并试图使安全研究人员沉默。
例如,当Wylecial今天早些时候披露了他的错误时,其他研究人员也报道了类似的情况,其中Apple将修补报告的安全错误推迟了一年多。
苹果在7月宣布安全研究设备计划的规则时,谷歌自负的零号项目安全团队拒绝参加,声称该程序规则是专门为限制公开披露而设计的,并限制了安全研究人员的发现。
四月另一位安全研究人员也报道了苹果的漏洞悬赏计划的类似经历,他形容这是一个“笑话”,描述了该程序的目标是试图“尽可能让研究人员对漏洞保持沉默”。
苹果发言人今天早些时候承认了我们的置评请求,但表示该公司将无法置评,因为它需要进一步调查。
点击阅读全文
