AD Banner Hijack Exploit赚取安全研究人员$ 75,000 Bug Bounty
更新一系列最近修补的安全漏洞,影响了苹果的苹果浏览器beplay体育能用吗Web浏览器为未经授权的网站创建了一种手段,可以访问iPhone,iPad和MacOS计算机上的相机。
安全研究员瑞安·皮克伦(Ryan Pickren)赚了75,000美元错误赏金从Apple揭示了七个Safari错误,包括三个缺陷,合并后允许创建一单击的恶意Javascript到Webcam访问利用。beplay体育能用吗
其Safari的iOS和MacOS版本都受到了隐私- 固定利用链。
Pickren向Apple报告了安全错误,Apple在今年2月和3月发布的一系列更新中修补了漏洞。
苹果证实了这一漏洞,并根据'零单击未经授权访问敏感数据’Bug Bounty计划的类别,并为Pickren授予75,000美元的发现。
眨眼,你会错过的
在解决问题之前,这些漏洞可能会允许专门制作的网站广告横幅来劫持用户的相机和麦克风,并监视它们。beplay体育能用吗
这是可能的,因为苹果的浏览器技术错误地允许未经授权的网站作为一个值得信赖的视频会议网站,例如Skype或beplay体育能用吗飞涨。
Flaws in how Safari was parsing URIs, managing web origins, and initializing secure contexts meant that any JavaScript code with the ability to create a popup (such as a standalone website, embedded ad banner, or even browser extension) could directly access Safari user’s webcam without asking for permission.
Pickren在A中解释说:“此漏洞使恶意网站在桌面Safari(如Mac计beplay体育能用吗算机上)或移动Safari(例如在iPhone或iPads上)查看时,将恶意网站伪装成可信赖的网站。”博客文章总结他的脆弱性发现。
“然后,黑客可以使用其欺诈性身份来侵犯用户的隐私。之所以起作用,是因为苹果使用户可以永久保存其安全设置每位林木beplay体育能用吗。
他补充说:“如果恶意网站想要访问摄像beplay体育能用吗头,那么它就需要做的就是化妆作为信任的视频会议网站,例如Skype或Zoom。”
Pickren汇总了一个详细的技术演练他最新的脆弱性发现。
去野生动物园
皮克伦告诉每日swbeplay2018官网ig他如何处理这个野生动物园研究项目。
“当我意识到Safari没有使用Web Origins来保存网站许可设置时,我开始了摄像机狩猎。beplay体育能用吗URI解析确实很难100%正确,所以我认为值得研究。”
安全研究人员将缺陷的严重性评为高于大多数周期性影响移动浏览器技术的高度。
Pickren解释说:“我认为,此错误比您在Web或移动应用程序中发现的典型错误更为严重。beplay体育能用吗这个错误影响了最受欢迎的移动网络浏览器beplay体育能用吗在美国,影响了数百万用户。
他总结说:“苹果产品安全团队很高兴与他们合作,我期待着继续参加他们的赏金计划。”
此故事的更新是为了添加Ryan Pickren的评论。
