ProHoster > Blog > naidheachdan eadar-lìn > Fhuair eòlaiche a lorg so-leòntachd ann an camarathan Apple $ 75

Fhuair eòlaiche a lorg so-leòntachd ann an camarathan Apple $ 75

Tha neach-rannsachaidh tèarainteachd a lorg còrr air leth-dhusan so-leòntachd latha neoni ann am brabhsair Safari air $ 75 a chosnadh bho phrògram Bug Bounty Apple. Dh’ fhaodadh cuid de na mialan sin leigeil le luchd-ionnsaigh cothrom fhaighinn air a’ chamara-lìn air coimpiutairean Mac, a bharrachd air a’ chamara bhidio air innealan-làimhe iPhone is iPad.

Fhuair eòlaiche a lorg so-leòntachd ann an camarathan Apple $ 75

Ryan Pickren air innse gu mionaideach mu chugallachd ann an grunn fhoillseachaidhean air an làrach-lìn aice. Gu h-iomlan, lorg e seachd so-leòntachd (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 agus CVE-2020-9787). , agus bha trì dhiubh co-cheangailte gu dìreach ri bhith a' slaodadh camara a dh'fhaodadh a bhith ann air innealan le MacOS agus iOS.

Leig lochdan ann an tèarainteachd a’ bhrobhsair le neach-tarraing a bhith a’ mealladh Safari gu bhith a’ smaoineachadh gur e làrach earbsach a bh’ anns an làrach droch-rùnach. Faodaidh còd JavaScript iomchaidh leis a’ chomas uinneag pop-up a chruthachadh (leithid làrach-lìn leis fhèin, sanas bratach freumhaichte, no leudachadh brabhsair) an ionnsaigh seo a chuir air bhog. Bidh an neach-tarraing a’ cleachdadh an dàta dearbh-aithne aige gus prìobhaideachd an neach-cleachdaidh a mhilleadh, le taing gu ìre dha Apple a’ leigeil le luchd-cleachdaidh roghainnean tèarainteachd a stòradh air stèidh gach làrach-lìn. Mar thoradh air an sin, faodaidh làrach-lìn droch-rùnach atharrais a dhèanamh air portal co-labhairtean bhidio earbsach leithid Skype no Zoom agus an uairsin faighinn gu camara an neach-cleachdaidh.

Chuir Pickren na co-dhùnaidhean aige a-steach gu Apple, a lean gu ùrachadh gu Safari san Fhaoilleach (dreach 13.0.5) a shuidhich trì so-leòntachd tèarainteachd. An uairsin sa Mhàrt, leig Apple a-mach ùrachadh eile (dreach 13.1) a dhùin na tuill tèarainteachd a bha air fhàgail.

Dhaibhsan a tha feumach air mion-fhiosrachadh, thug am “buughunter” cunntas mionaideach air a’ phròiseas hacaidh air a’ bhlog aige, a tha a’ mìneachadh mion-fhiosrachadh teicnigeach. A thaobh prògram Apple Bug Bounty, tha pàighidhean airson bugaichean a chaidh a lorg a’ dol bho $5000 (as ìsle) gu $1 millean.



Source: 3d naidheachdan.ru

Cuir beachd ann