Indagator Indian Bhavuk Jain, qui in agro securitatis informationis laborat, praemium $ 100 ad inveniendum periculosam vulnerabilitatem in "Inscribe cum Apple" munus accepit. Hoc munus a dominis Apple machinarum pro secure licentia in tertia factione adhibetur. applicationes et officia propria ID utens.
De vulnerabilitate loquimur, cuius usus permittere posset oppugnatores victimarum rationes in applicationibus et officiis moderari, pro quibus Sign in cum Apple instrumentum pro licentia adhibitum est. Ad monumentum, Inire cum Apple est mechanismum authenticas secreti conservandi quae te permittit signum in tertia parte apps et officia sine electronica tua reveles.
Signum in cum Apple authenticas processus gignit JSON Web Thochen, qui sensitivas informationes continet in applicatione tertiam partem uti posse ad identitatem usoris subscripti comprobandam. Abusio praedictae vulnerabilitas permisit impugnatorem ut signum JWT cudere cum quolibet usuario ID coniungatur. Quam ob rem oppugnator poterit inire per Sign in cum Apple functione pro victima in tertia factione officia et applicationes quae hoc instrumentum sustinent.
Investigator nuntiavit vulnerabilitatem Apple proximo mense et iam fixa est. Praeterea Apple speciales inquisitionem gesserunt, in quibus unum casum non invenerunt, quo haec vulnerabilitas ab oppugnatoribus in usu adhibita est.
Source: 3dnews.ru