миша 0 Опубликовано 27 августа, 2020 Поделиться Опубликовано 27 августа, 2020 В браузере Safari на iPhone и iMac найдена критичная ошибка (есть опасность утечки файлов) Польский эксперт по компьютерной безопасности на днях опубликовал в Сети очередную, ранее неизвестную уязвимость, находящуюся в фирменном браузере компании Apple — Safari, которая может тайно от пользователя отправлять стороннему получателю любой файл, находящийся в системе. При этом, отмечает программист, он скидывал уязвимость в офис Apple еще весной текущего года, но никакой реакции от компании до сих пор не последовало, из-за чего он и решился на публикацию уязвимости в Сети, чтобы предупредить общественность. Хоть сам эксперт из Польши говорит, что эта ошибка «не очень серьезная» (хотя, на наш же взгляд, куда уж серьезнее может быть уязвимость, ведь с ее помощью злоумышленники могут похищать файлы), поскольку она по-прежнему требует, чтобы человек сделал ряд определенных действий, которые опытные интернет-пользователи никогда делать не будут, чтобы по ошибке не отправить файл из своей системы другому человеку, но сам факт присутствия ошибки и того, что поляк указал на нее еще весной этого года, а Apple все еще не отреагировала и поставила создание «заплатки» в очередь — на весну 2021 года, несколько озадачивает любого ответственного человека. Как работает уязвимость? По словам Вилесиала, работает она посредством API Safari Web Share — кроссбраузерного API для обмена текстом, ссылками, файлами и прочим контентом и поддерживает схему URI file: // . То есть совместного использования файлов, которые хранятся на локальном жестком диске пользователя на системах iOS и macOS. Смотрите также В результате злоумышленник может встроить специальную ссылку для добычи файлов на компьютере пользователя, как говорит Павел, в одну из кнопок поддельного сайта, скажем ту, которую пользователь использовал бы для обмена контентом с друзьями. На самом деле в момент нажатия на подставную кнопку и при соблюдении некоторых иных условий файлы будут скрытно похищены с компьютера жертвы. Вот как это работает на примере файлов /etc/passwd и истории браузера пользователя: Так, получается, на компьютере жертвы, в почтовом приложении, может появиться подобная кнопка для перехода с заманчивым заголовком и не внушающей опасений картинкой, но это будет лишь уловка. Как говорит эксперт, такими проблемами обладают Safari в обеих популярных операционных системах Эппл, как в iOS, так и в macOS, что позволяет делиться файлами, сохраненными на локальном диске пользователя. фото: David Murphy В такой реализации, на наш взгляд, эта функция представляет серьезную проблему конфиденциальности, поскольку вредоносные веб-страницы могут предложить посетителям поделиться материалом с сайта с друзьями по электронной почте. В это же время злоумышленники смогут украсть файлы с устройства посетителя по схеме, продемонстрированной выше. фото: David Murphy «Интересно и то, что компания Apple не просто не сумела подготовить патч для этой проблемы, хотя у специалистов было на это четыре месяца, но также попыталась задержать публикацию отчета Вилесиала с результатами исследования до следующей весны», — пишет сайт xaker.ru. Смотрите также В Твиттер тут же появились другие примеры пренебрежения Apple сроками разработки патчей под другие баги: I reported one issue in June 2019. It will be fixed on "Fall of 2020" ?— Wojciech Reguła (@_r3ggi) Обложка: (Shutterstock) Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.