9 puan yazan xguru 2022-02-02 | 1 yorum | WhatsApp'ta paylaş
  • iCloud Sharing ve Safari 15 kullanılarak kameraya ve kullanıcının ziyaret ettiği tüm web sitelerinin bilgilerine erişim sağlayabilen bir güvenlik açığı

  • 4 adet 0-day hata bulup bildirdi ve $100,500 ödül aldı

  • Söz konusu hataların tamamı 2022'nin başında yamalandı; bu yüzden ilgili ayrıntıları detaylı biçimde yazıp paylaştı

Reklam

Universal Cross-Site Scripting (UXSS) hatası

  • Tarayıcıdaki bir zafiyetten yararlanarak XSS koşulu sağlanıyor ve tüm sitelere erişim mümkün hale geliyor

  • iCloud dosyalarını indirip çalıştıran ShareBear uygulamasının, bir dosyayı bir kez indirip çalıştırdıktan sonra tekrar sormamasından yararlanıldı

    Reklam
  • Bir görüntüyü bir kez indirerek izin alındıktan sonra, çalıştırılabilir bir binary indirtilip saldırı kodu içeren bir Webarchive açtırılıyor

  • Bu web archive dosyasını doğrudan açmak Gatekeeper tarafından engellendiği için, bir Windows URL dosyası oluşturulup ona link verdirilerek bu da aşılıyor

  • URL dosyasının içine yazılacak gerçek sabit disk adresinin bilinmesi gerekiyor; bunu bilmek zor olduğundan önce bir DMG dosyası mount ediliyor

1 yorum

 
xguru 2022-02-02

Açıklaması da karmaşık ama... bunu bulmak için ne kadar zaman harcadığını tahmin edemiyorum.

Apple güvenlik açığından para kazanma hikayesini daha önce de bir kez paylaşmıştım.