Apple webcam hatasını bulup 100 bin dolar ödül alma hikayesi

<p>- iCloud Sharing ve Safari 15 kullanılarak kameraya ve kullanıcının ziyaret ettiği tüm web sitelerinin bilgilerine erişim sağlayabilen bir güvenlik açığı <br /> - 4 adet 0-day hata bulup bildirdi ve $100,500 ödül aldı <br /> - Söz konusu hataların tamamı 2022'nin başında yamalandı; bu yüzden ilgili ayrıntıları detaylı biçimde yazıp paylaştı <br /> <br /> Universal Cross-Site Scripting (UXSS) hatası <br /> - Tarayıcıdaki bir zafiyetten yararlanarak XSS koşulu sağlanıyor ve tüm sitelere erişim mümkün hale geliyor <br /> <br /> - iCloud dosyalarını indirip çalıştıran ShareBear uygulamasının, bir dosyayı bir kez indirip çalıştırdıktan sonra tekrar sormamasından yararlanıldı <br /> - Bir görüntüyü bir kez indirerek izin alındıktan sonra, çalıştırılabilir bir binary indirtilip saldırı kodu içeren bir Webarchive açtırılıyor <br /> - Bu web archive dosyasını doğrudan açmak Gatekeeper tarafından engellendiği için, bir Windows URL dosyası oluşturulup ona link verdirilerek bu da aşılıyor<br /> - URL dosyasının içine yazılacak gerçek sabit disk adresinin bilinmesi gerekiyor; bunu bilmek zor olduğundan önce bir DMG dosyası mount ediliyor </p>