4006-555-883

专家揭示了未修复的Safari漏洞,该漏洞允许窃取本地文件

发布时间:2020-08-27 10:36:00

  一位专家披露了苹果Safari web浏览器中未修补漏洞的详细信息,攻击者可利用该漏洞从目标系统窃取文件。

  安全研究人员Pawel Wylecial在4月份发现了这个漏洞,他是安全公司的创始人红队.PL还有黑猫头鹰。今年8月,经过数月的分析,苹果告诉研究人员,它将在2021年春季解决这个问题,并要求他在那之前不要公开披露这个问题。

  然而,Wylecial选择披露他的发现,以迫使该公司早些时候解决这个问题。



  该漏洞存在于Web共享API中,该API允许用户通过电子邮件和消息传递应用程序等第三方应用程序共享来自Safari的链接。

  问题是file:scheme是允许的,当一个网站指向这样的URL时会发生意外行为。如果这样的链接传递给导航器.share功能用户文件系统中的实际文件包含在共享消息中,当用户在不知情的情况下共享时,会导致本地文件泄露。“这个问题不是很严重,因为需要用户交互,但是很容易使共享文件对用户不可见。在我们试图说服毫无戒心的用户执行某些操作时,我们想到的最接近的比较是点击劫持。”

  为了利用该问题,攻击者必须诱使受害者访问恶意网站并执行特定的操作序列。

  研究人员建立了一个恶意网站来演示如何攻击本地passwd文件或存储用户浏览历史的文件。该网站包含一个图片和一条信息,要求访问者使用同一页面上的按钮与朋友分享。单击按钮后,将要求用户选择要用于共享图像链接的应用程序。通过电子邮件共享图像,攻击者的代码,还会从目标系统附加任意文件。

  Wylecial指出,受害者必须向下滚动才能看到附件,或者在某些情况下附件的名称可能无法显示,这使得攻击更难被发现。

  该攻击适用于运行iOS 13.4.1和13.6的设备,运行Safari 13.1的macOS Mojave 10.14.16,以及运行Safari 13.1.1的macOS Catalina 10.15.5。

  【参考来源:securityaffairs.co】

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
4·15国家安全教育日 | 网络安全,你我共建
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显