Safari ブラウザに 75 件以上のゼロデイ脆弱性を発見したセキュリティ研究者が、Apple のバグ報奨金プログラムから 000 ドルを獲得しました。 これらのバグの一部により、攻撃者が Mac コンピュータの Web カメラや、iPhone および iPad モバイル デバイスのビデオ カメラにアクセスできるようになる可能性があります。
ライアン・ピックレン Web サイト上のいくつかの出版物の脆弱性について。 合計 2020 つの脆弱性 (CVE-3852-2020、CVE-3864-2020、CVE-3865-2020、CVE-3885-2020、CVE-3887-2020、CVE-9784-2020、および CVE-9787-XNUMX) を発見しました。 , そのうち XNUMX 件は、MacOS および iOS を搭載したデバイス上のカメラのハッキングの可能性に直接関連していました。
ブラウザのセキュリティに欠陥があったため、ハッカーが Safari をだまして、悪意のあるサイトが信頼できるサイトであると思わせることができました。 ポップアップ ウィンドウを作成する機能を持つ適切な JavaScript コード (スタンドアロン Web サイト、埋め込みバナー広告、ブラウザ拡張機能など) がこの攻撃を開始する可能性があります。 Apple がユーザーに Web サイトごとにセキュリティ設定を保存できるようにしたこともあり、ハッカーは自分の ID データを使用してユーザーのプライバシーを侵害しました。 その結果、悪意のある Web サイトが Skype や Zoom などの信頼できるビデオ会議ポータルになりすまして、ユーザーのカメラにアクセスする可能性があります。
Pickren 氏は調査結果を Apple に提出し、これが 13.0.5 月の Safari のアップデート (バージョン 13.1) につながり、XNUMX つのセキュリティ脆弱性が修正されました。 その後 XNUMX 月に、Apple は残りのセキュリティ ホールを塞ぐ別のアップデート (バージョン XNUMX) をリリースしました。
詳細が必要な方のために、「バグハンター」は自身のブログでハッキングのプロセスを詳しく説明しており、技術的な詳細を概説しています。 Apple Bug Bounty プログラムに関しては、発見されたバグに対する支払いの範囲は 5000 ドル (最低) から 1 万ドルまでです。
出所: 3dnews.ru