| 22 февраля 2021 г. — 6:42 утра по тихоокеанскому времени
Уязвимость безопасности в iCloud, которую можно было использовать для отправки вредоносного ПО пользователям Mac, теперь устранена Apple, согласно новому сообщению в блоге.
Она позволяла злоумышленнику встраивать вредоносный код в документы Pages или Keynote, которые затем могли быть распространены среди других пользователей…
ZDNet сообщает:
Охотник за ошибками и специалист по тестированию на проникновение Вишал Бхарад утверждает, что обнаружил уязвимость безопасности, представляющую собой проблему XSS-атаки с сохранением данных (stored XSS) на сайте icloud.com.
Уязвимости stored XSS, также известные как постоянные XSS-уязвимости, могут использоваться для хранения полезной нагрузки на целевом сервере, внедрения вредоносных скриптов на веб-сайты и потенциально для кражи файлов cookie, токенов сеанса и данных браузера.
По словам Бхарад, XSS-уязвимость на icloud.com была обнаружена в функциях Pages/Keynotes домена iCloud от Apple.
Бхарад утверждает, что Apple заплатила ему вознаграждение за поиск и сообщение об ошибке в размере 5000 долларов.
Относительно небольшая выплата за потенциально очень серьезную уязвимость, вероятно, была обусловлена очень специфическими шагами, необходимыми для ее активации, что делало ее сложной для эксплуатации.
Чтобы активировать ошибку, злоумышленнику необходимо было создать новый контент в Pages или Keynote с внедренной в поле имени XSS-полезной нагрузкой.
Затем этот контент нужно было сохранить и отправить или поделиться им с другим пользователем. После этого злоумышленник должен был внести одно или два изменения в вредоносный контент, сохранить его снова и перейти в раздел «Настройки» и «Просмотреть все версии».
После выбора этого параметра, по словам исследователя, сработает XSS-полезная нагрузка.
Вы можете увидеть видео с доказательством концепции ниже.
Apple впервые представила программу вознаграждений за обнаружение уязвимостей еще в 2016 году, но подверглась критике со стороны исследователей безопасности по двум причинам. Во-первых, это была программа только по приглашениям; во-вторых, максимальная выплата составляла 200 000 долларов. Обе эти причины, как утверждалось, стимулировали людей продавать информацию правительствам и компаниям, занимающимся черной магией, которые использовали бы ее для взлома устройств Apple. В конце прошлого года компания из Купертино решила обе эти проблемы, открыв программу для всех и увеличив максимальную выплату до 1,5 миллиона долларов.