Apple раскритиковали за задержку выпуска патчей.
https://www.securitylab.ru/upload/ib...6b22462d7b.jpg
Исследователь безопасности Павель Вылецяль (Pawel Wylecial) https://blog.redteam.pl/2020/08/stea...afari-web.htmlподробности об уязвимости в браузере Safari, которая может быть использована для кражи файлов с устройств пользователей.
Проблема cвязана с реализацией в браузере Web Share API - нового стандарта, позволяющего пользователям поделиться текстом, файлами, ссылками и прочим контентом. По словам исследователя, Safari (версия как для iOS, так и для macOS) поддерживает обмен файлами, хранящимися на жестком диске (через URI схему file://), в результате при отправке ссылки функции navigator.share в сообщение включается файл из файловой системы, что может привести к утечке данных.
Уязвимость не особо опасна, поскольку для ее эксплуатации требуется взаимодействие с пользователем, хотя «сделать файл невидимым для пользователя достаточно просто», отметил эксперт.
Видео с демонстрацией процесса эксплуатации ниже.
https://youtu.be/ZO389iwdit8
Однако проблема не столько в самой уязвимости или в том, насколько легко ее проэксплуатировать, а в отношении компании Apple к отчетам об уязвимостях.
Изначально Вылецяль сообщил техногиганту о баге в апреле нынешнего года, однако Apple отложила выпуск патча почти на год - до весны 2021 года. Кроме того, компания попросила исследователя повременить с публикацией информации об уязвимости до следующей весны, невзирая на стандартный период в 90 дней, принятый в ИБ-сообществе.
Подобная ситуация не единична. В последнее время в адрес Apple все чаще звучат https://twitter.com/lapcatsoftware/s...62100892971013в том, что компания специально https://twitter.com/_r3ggi/status/1297912233893212163исправление уязвимостей и пытается удержать исследователей от публикации данных о них. В самой Apple пока никак не комментируют ситуацию.