(ChinaZ.com) 8月25日 消息:今天,一名安全研究人員公布了關于Safari瀏覽器漏洞的詳細信息,該漏洞可能被用來泄露或竊取用戶設備中的文件。
據悉,波蘭安全公司REDTEAM.PL的聯合創始人Pawel Wylecial在今年 4 月份就發現了漏洞,并首次向蘋果公司報告了這一問題。不過,蘋果相關補丁會延遲將近一年的時間才會發布,于是研究人員決定今天公布自己發現的漏洞。
Wylecial說,這個bug存在于Safari對 Web Share API 中——這是一個新的Web標準,引入了跨瀏覽器的API,用于共享文本、鏈接、文件和其他內容。
安全研究員表示,Safari(在iOS和macOS上)支持用戶共享存儲在本地硬盤上的文件(通過file:// URI方案)。這是一個很大的隱私問題,因為這可能會導致惡意網頁邀請用戶通過電子郵件與朋友分享文章,但最終會從他們的設備中秘密竊取或泄漏文件。
Wylecial并沒有將這個漏洞描述為嚴重等級,因為攻擊者需要用戶交互和復雜的社會工程來誘騙用戶泄露本地文件。
然而,真正的問題不只是漏洞本身以及利用漏洞的簡單或復雜程度,而是蘋果如何處理漏洞報告。
蘋果公司不僅在四個多月后未能及時準備好補丁,而且還試圖將研究人員發現漏洞的時間推遲到明年春天,這比最初的漏洞報告晚了將近一年,也遠遠超過了信息安全行業普遍接受的 90 天漏洞披露標準期限。
