波兰安全公司REDTEAM.PL的联合创始人Pawel Wylecial发现了苹果safari的这个漏洞,该漏洞会泄露用户设备中的文件。
据Wylecial表示,今年4月份向苹果公司报告了这个漏洞,但是苹果公司决定推迟修复该漏洞,延迟到2021年。Wylecial无奈,今日公开了他的发现,希望以此方式督促苹果公司早日修复。
一、这个漏洞不是很严重
在今天的一篇博客文章中,Wylecial说,这个bug存在于Safari对Web共享API的实现中——这是一个新的Web标准,引入了跨浏览器的API,用于共享文本、链接、文件和其他内容。
Safari (iOS和macOS上)支持共享存储在用户本地硬盘上的文件(通过file:// URI方案)。
这是一个很大的隐私问题,因为这可能导致恶意网页邀请用户通过电子邮件与他们的朋友分享一篇文章,但最终会秘密地从他们的设备窃取或泄露一个文件。
Wylecial描述这个漏洞“不是很严重”,因为需要用户交互和复杂的社会工程来诱骗用户泄露本地文件;不过,他也承认,攻击者“让共享文件对用户不可见”也很容易。
二、修补漏洞是一个公司的责任
一个漏洞发现之后,真正的问题不是漏洞本身以及利用漏洞的简单或复杂程度,而是苹果公司对待处理漏洞报告的态度。
苹果不仅在4个多月之后没有及时准备好补丁,而且还试图将研究人员的发现推迟到明年春天,距离最初的漏洞报告几乎整整一年了,这远远超过了信息产业界普遍接受的漏洞披露期限90天标准。
Wylecial表示,尽管苹果宣布了一项专门的漏洞奖励计划,但越来越多的人指责苹果故意拖延漏洞,并试图让安全研究人员噤声。
例如,今天早些时候,当Wylecial披露了他的漏洞时,其他研究人员也报告了类似的情况。
同时,另一名安全研究人员也报告了苹果的漏洞赏金(bug bounty)项目的类似经历,苹果公司尽可能让研究人员对漏洞保持沉默。
三、事件总结
- 漏洞披露的行业标准是90天。超过这一时间,Wylecial公示漏洞,没有任何问题。
- 这个漏洞不止一个研究员发声,说明这已经是普遍发现的漏洞。
- 苹果公司应该尽快解决漏洞问题,因为产品的安全才是首要的。
来源:freebuf.com 2020-08-25 11:48:23 by: 信息安全的那些事儿
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册