Jump to content
Sign in to follow this  
mr.save

Уязвимости в Safari позволяли взломать камеру на iPhone и MacBook

Recommended Posts

Плохие новости для владельцев Apple iPhone и MacBook – просто посетив сайт (необязательно вредоносный, это может быть легитимный ресурс, но с вредоносной рекламой) через браузер Safari, он может предоставить удаленному злоумышленнику доступ к камере и микрофону на своем устройстве, данным о местоположении и в некоторых случаях даже к паролям.

Уязвимость обнаружил исследователь безопасности Райан Пикрен (Ryan Pickren), который сообщил о ней и еще шести других компании Apple. За это он получил вознаграждение в размере $75 тыс. Проблемы были исправлены в несколько этапов, начиная от версии Safari 13.0.5 (выпущена 28 января 2020 года) и заканчивая версией 13.1 (выпущена 24 марта 2020 года).

Как пояснил Пикрен, для того чтобы получить доступ к камере на устройстве жертвы, злоумышленнику достаточно заманить ее на поддельный сайт, имитирующий сервис для конференцсвязи наподобие Skype или Zoom. Связка из трех обнаруженных исследователем уязвимостей позволяет злоумышленникам выдавать вредоносный сайт за легитимный и получать разрешение на доступ к микрофону и камере, предоставляемое только доверенным доменам.

Список уязвимостей:

CVE-2020-3852: Некорректное игнорирование схемы URL в процессе определения разрешений для медиафайлов сайта.

CVE-2020-3864: Контекст DOM-элемента может не иметь уникального безопасного происхождения.

CVE-2020-3865: Контекст DOM-элемента верхнего уровня может некорректно считаться безопасным.

CVE-2020-3885: Некорректная обработка URL-адреса файла.

CVE-2020-3887: Некорректная привязка источника загрузки.

CVE-2020-9784: Использование вредоносным iframe настроек загрузки другого сайта.

CVE-2020-9787: Некорректное игнорирование схемы URL, где тире (-) и точка (.) расположены рядом, в процессе определения разрешений для медиафайлов сайта.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...