安全研究人员发现了漏洞,苹果在Safari浏览器中存在,但将补丁的发布推迟了近

来源:网络  时间:2020-09-21 18:15:40

波兰安全公司redWG.pl的联合创始人帕维尔韦勒西亚发现了苹果Safari中的漏洞,该漏洞可能会从用户设备上泄露文件。据Wylecial称,这一漏洞是...

波兰安全公司redWG.pl的联合创始人帕维尔韦勒西亚发现了苹果Safari中的漏洞,该漏洞可能会从用户设备上泄露文件。

据Wylecial称,这一漏洞是在4月份向苹果报告的,但苹果决定推迟到2021年修复。韦莱西尔别无选择,只能在今天公布自己的发现,希望能敦促苹果尽快修复这些漏洞。

这个漏洞不是很严重

在今天的一篇博文中,wylecial说,在Safari实现WebSharedAPI(一种引入跨浏览器API的新Web标准)中存在该漏洞,用于共享文本、链接、文件和其他内容。

Safari(iOS和MacOS)支持共享存储在用户本地硬盘上的文件(通过file://uri方案)。

这是一个严重的隐私问题,因为它可能导致恶意网页邀请用户通过电子邮件与朋友分享一篇文章,但最终会偷偷窃取或泄露设备上的文件。

Wylecial将该漏洞描述为不太严重,因为用户交互和复杂的社会工程需要欺骗用户泄露本地文件;然而,他也承认攻击者也很容易使共享文件对用户不可见。

二、修补漏洞是公司的责任

在漏洞被发现后,真正的问题不是漏洞本身及其利用的简单性或复杂性,而是苹果对处理漏洞报告的态度。

苹果不仅在四个多月后没有及时准备补丁,而且还试图将研究人员的研究结果推迟到明年春天,也就是在最初的漏洞报告发布前整整一年,远远超过了信息产业普遍接受的90天期限。

Wylecial说,虽然苹果已经宣布了一个特殊的漏洞奖励计划,但越来越多的人指责苹果故意拖延漏洞,试图让安全研究人员闭嘴。

例如,今天早些时候,当韦尔西尔披露他的漏洞时,其他研究人员报告了类似的情况。

同时,另一位安全研究人员报告说,苹果公司的漏洞奖励(Bug)项目也有类似的经历,该项目使研究人员尽可能保持沉默。

三.事件摘要

1.漏洞披露的行业标准为90天。在此之后,我们的公开漏洞,没有问题。

两位。不止一位研究员从漏洞中发言,表明这已经是一个被广泛发现的漏洞。

3.苹果应尽快解决漏洞问题,因为产品的安全是第一要务。