一位安全研究人員在 Safari 瀏覽器中發現了六個以上的零日漏洞,並從 Apple 的 Bug Bounty 計劃中獲得了 75 美元的獎金。 其中一些錯誤可能允許攻擊者存取 Mac 電腦上的網路攝影機以及 iPhone 和 iPad 行動裝置上的攝影機。
瑞安·皮克倫 關於其網站上幾份出版物中的漏洞。 他總共發現了七個漏洞(CVE-2020-3852、CVE-2020-3864、CVE-2020-3865、CVE-2020-3885、CVE-2020-3887、CVE-2020-9784、CVE-2020-9787、CVE-XNUMX-XNUMX 和 CVE-XNUMX-XNUMX) ,其中三個與MacOS 和iOS 設備上的相機可能被駭客攻擊直接相關。
瀏覽器的安全缺陷使駭客能夠欺騙 Safari,使其認為惡意網站是受信任的網站。 能夠建立彈出視窗(例如獨立網站、嵌入式橫幅廣告或瀏覽器擴充功能)的適當 JavaScript 程式碼可以發動此攻擊。 駭客利用他的身份資料來損害用戶的隱私,這在一定程度上要歸功於蘋果允許用戶在每個網站的基礎上儲存安全設定。 因此,惡意網站可以冒充受信任的視訊會議入口網站(例如 Skype 或 Zoom),然後存取使用者的攝影機。
Pickren 向 Apple 提交了他的發現,這導致 Safari 在 13.0.5 月進行了更新(版本 13.1),修復了三個安全漏洞。 然後在 XNUMX 月份,Apple 發布了另一個更新(版本 XNUMX),修復了剩餘的安全漏洞。
對於需要詳細資訊的人,「bughunter」在他的部落格上詳細描述了駭客攻擊過程,其中概述了技術細節。 至於 Apple Bug Bounty 計劃,針對發現的 bug 支付的金額從 5000 美元(最低)到 1 萬美元不等。
來源: 3dnews.ru