(ChinaZ.com) 8月25日 消息:今天,一名安全研究人員公布了關(guān)于Safari瀏覽器漏洞的詳細(xì)信息,該漏洞可能被用來(lái)泄露或竊取用戶設(shè)備中的文件。
據(jù)悉,波蘭安全公司REDTEAM.PL的聯(lián)合創(chuàng)始人Pawel Wylecial在今年 4 月份就發(fā)現(xiàn)了漏洞,并首次向蘋果公司報(bào)告了這一問(wèn)題。不過(guò),蘋果相關(guān)補(bǔ)丁會(huì)延遲將近一年的時(shí)間才會(huì)發(fā)布,于是研究人員決定今天公布自己發(fā)現(xiàn)的漏洞。
Wylecial說(shuō),這個(gè)bug存在于Safari對(duì) Web Share API 中——這是一個(gè)新的Web標(biāo)準(zhǔn),引入了跨瀏覽器的API,用于共享文本、鏈接、文件和其他內(nèi)容。
安全研究員表示,Safari(在iOS和macOS上)支持用戶共享存儲(chǔ)在本地硬盤上的文件(通過(guò)file:// URI方案)。這是一個(gè)很大的隱私問(wèn)題,因?yàn)檫@可能會(huì)導(dǎo)致惡意網(wǎng)頁(yè)邀請(qǐng)用戶通過(guò)電子郵件與朋友分享文章,但最終會(huì)從他們的設(shè)備中秘密竊取或泄漏文件。
Wylecial并沒(méi)有將這個(gè)漏洞描述為嚴(yán)重等級(jí),因?yàn)楣粽咝枰脩艚换ズ蛷?fù)雜的社會(huì)工程來(lái)誘騙用戶泄露本地文件。
然而,真正的問(wèn)題不只是漏洞本身以及利用漏洞的簡(jiǎn)單或復(fù)雜程度,而是蘋果如何處理漏洞報(bào)告。
蘋果公司不僅在四個(gè)多月后未能及時(shí)準(zhǔn)備好補(bǔ)丁,而且還試圖將研究人員發(fā)現(xiàn)漏洞的時(shí)間推遲到明年春天,這比最初的漏洞報(bào)告晚了將近一年,也遠(yuǎn)遠(yuǎn)超過(guò)了信息安全行業(yè)普遍接受的 90 天漏洞披露標(biāo)準(zhǔn)期限。
