(ChinaZ.com) 8月25日 消息:今天,一名安全研究人员公布了关于Safari浏览器漏洞的详细信息,该漏洞可能被用来泄露或窃取用户设备中的文件。
据悉,波兰安全公司REDTEAM.PL的联合创始人Pawel Wylecial在今年 4 月份就发现了漏洞,并首次向苹果公司报告了这一问题。不过,苹果相关补丁会延迟将近一年的时间才会发布,于是研究人员决定今天公布自己发现的漏洞。
Wylecial说,这个bug存在于Safari对 Web Share API 中——这是一个新的Web标准,引入了跨浏览器的API,用于共享文本、链接、文件和其他内容。
安全研究员表示,Safari(在iOS和macOS上)支持用户共享存储在本地硬盘上的文件(通过file:// URI方案)。这是一个很大的隐私问题,因为这可能会导致恶意网页邀请用户通过电子邮件与朋友分享文章,但最终会从他们的设备中秘密窃取或泄漏文件。
Wylecial并没有将这个漏洞描述为严重等级,因为攻击者需要用户交互和复杂的社会工程来诱骗用户泄露本地文件。
然而,真正的问题不只是漏洞本身以及利用漏洞的简单或复杂程度,而是苹果如何处理漏洞报告。
苹果公司不仅在四个多月后未能及时准备好补丁,而且还试图将研究人员发现漏洞的时间推迟到明年春天,这比最初的漏洞报告晚了将近一年,也远远超过了信息安全行业普遍接受的 90 天漏洞披露标准期限。
