Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Apple раскритиковали за задержку выпуска патчей

25/08/20

Apple6

Исследователь безопасности Павель Вылецяль (Pawel Wylecial) опубликовал подробности об уязвимости в браузере Safari, которая может быть использована для кражи файлов с устройств пользователей.

Проблема cвязана с реализацией в браузере Web Share API - нового стандарта, позволяющего пользователям поделиться текстом, файлами, ссылками и прочим контентом. По словам исследователя, Safari (версия как для iOS, так и для macOS) поддерживает обмен файлами, хранящимися на жестком диске (через URI схему file://), в результате при отправке ссылки функции navigator.share в сообщение включается файл из файловой системы, что может привести к утечке данных.

Уязвимость не особо опасна, поскольку для ее эксплуатации требуется взаимодействие с пользователем, хотя «сделать файл невидимым для пользователя достаточно просто», отметил эксперт.

Видео с демонстрацией процесса эксплуатации.

Однако проблема не столько в самой уязвимости или в том, насколько легко ее проэксплуатировать, а в отношении компании Apple к отчетам об уязвимостях.

Изначально Вылецяль сообщил техногиганту о баге в апреле нынешнего года, однако Apple отложила выпуск патча почти на год - до весны 2021 года. Кроме того, компания попросила исследователя повременить с публикацией информации об уязвимости до следующей весны, невзирая на стандартный период в 90 дней, принятый в ИБ-сообществе.

Подобная ситуация не единична. В последнее время в адрес Apple все чаще звучат обвинения в том, что компания специально откладывает исправление уязвимостей и пытается удержать исследователей от публикации данных о них. В самой Apple пока никак не комментируют ситуацию.

Темы:AppleУгрозыполитика компании
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...