DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng trong trình duyệt Safari bị tiết lộ do Apple chậm trễ sửa lỗi
Hôm nay, một nhà nghiên cứu đã công bố chi tiết về một lỗi trong trình duyệt Safari có thể bị tin tặc khai thác để làm rò rỉ hoặc đánh cắp tệp từ thiết bị của người dùng. Lỗi được phát hiện bởi Pawel Wylecial, người đồng sáng lập công ty bảo mật REDTEAM.PL của Ba Lan.
Wylecial ban đầu đã báo cáo lỗi này cho Apple vào tháng 4 năm nay, nhưng nhà nghiên cứu đã quyết định công khai phát hiện của mình vào ngày hôm nay sau khi Apple trì hoãn việc vá lỗi.
Trong một bài đăng trên blog, Wylecial cho biết lỗi nằm trong cách thức Safari triển khai Web Share API - một tiêu chuẩn web mới mà Apple đã sử dụng trên trình duyệt để chia sẻ văn bản, liên kết, tệp và các nội dung khác.
Theo chuyên gia này, trình duyệt Safari trên cả iOS và macOS hỗ trợ chia sẻ các tệp được lưu trữ trên ổ cứng cục bộ của người dùng thông qua cơ chế file://URI.
Đây là một vấn đề lớn về quyền riêng tư vì điều này có thể dẫn đến trường hợp các trang web độc hại có lừa người dùng chia sẻ một bài báo qua email với bạn bè của họ, nhưng cuối cùng lại bí mật lấy cắp hoặc làm rò rỉ tệp từ thiết bị của người dùng.
Video dưới dây mô phỏng cách sử dụng lỗi trong Web Share API để trích xuất nội dung của tệp /etc/passwd hoặc cơ sở dữ liệu lịch sử trình duyệt của người dùng Safari.
Nhà nghiên cứu cho biết, mặc dù lỗ hổng không được đánh giá nghiêm trọng vì yêu cầu tương tác từ người dùng, cũng như cần phương thức tấn công phi kỹ thuật phức tạp để lừa người dùng làm rò rỉ các tệp cục bộ. Tuy nhiên, Wylecial nhấn mạnh kẻ tấn công có thể dễ dàng đánh lừa người dùng để trích xuất các tệp nhạy cảm trên hệ thống bằng cách ẩn tệp được chia sẻ.
Tuy nhiên, vấn đề thực sự ở đây không nằm ở lỗ hổng hay mức độ khai thác lỗi mà là cách Apple xử lý báo cáo lỗi.
Apple không tung ra bản vá kịp thời sau hơn 4 tháng, mà công ty còn cố gắng ngăn không cho nhà nghiên cứu tiết lộ lỗ hổng. Thời hạn tiết lộ lỗ hổng bảo mật là 90 ngày được chấp nhận rộng rãi trong ngành bảo mật thông tin.
Apple đã công bố một chương trình bug bounty, tuy nhiên các nhà nghiên cứu bảo mật không mặn mà và đánh giá cao chương trình thưởng lỗi của Apple vì công ty này ngày càng cố tình trì hoãn việc sửa lỗi và cố gắng "bịt miệng" các nhà nghiên cứu. Điển hình có thể kể đến nhóm nghiên cứu bảo mật nổi tiếng của Google, Project Zero đã từ chối tham gia và tuân thủ các nguyên tắc trong chương trình thưởng lỗi của Apple.
Wylecial ban đầu đã báo cáo lỗi này cho Apple vào tháng 4 năm nay, nhưng nhà nghiên cứu đã quyết định công khai phát hiện của mình vào ngày hôm nay sau khi Apple trì hoãn việc vá lỗi.
Trong một bài đăng trên blog, Wylecial cho biết lỗi nằm trong cách thức Safari triển khai Web Share API - một tiêu chuẩn web mới mà Apple đã sử dụng trên trình duyệt để chia sẻ văn bản, liên kết, tệp và các nội dung khác.
Theo chuyên gia này, trình duyệt Safari trên cả iOS và macOS hỗ trợ chia sẻ các tệp được lưu trữ trên ổ cứng cục bộ của người dùng thông qua cơ chế file://URI.
Đây là một vấn đề lớn về quyền riêng tư vì điều này có thể dẫn đến trường hợp các trang web độc hại có lừa người dùng chia sẻ một bài báo qua email với bạn bè của họ, nhưng cuối cùng lại bí mật lấy cắp hoặc làm rò rỉ tệp từ thiết bị của người dùng.
Video dưới dây mô phỏng cách sử dụng lỗi trong Web Share API để trích xuất nội dung của tệp /etc/passwd hoặc cơ sở dữ liệu lịch sử trình duyệt của người dùng Safari.
Nhà nghiên cứu cho biết, mặc dù lỗ hổng không được đánh giá nghiêm trọng vì yêu cầu tương tác từ người dùng, cũng như cần phương thức tấn công phi kỹ thuật phức tạp để lừa người dùng làm rò rỉ các tệp cục bộ. Tuy nhiên, Wylecial nhấn mạnh kẻ tấn công có thể dễ dàng đánh lừa người dùng để trích xuất các tệp nhạy cảm trên hệ thống bằng cách ẩn tệp được chia sẻ.
Tuy nhiên, vấn đề thực sự ở đây không nằm ở lỗ hổng hay mức độ khai thác lỗi mà là cách Apple xử lý báo cáo lỗi.
Apple không tung ra bản vá kịp thời sau hơn 4 tháng, mà công ty còn cố gắng ngăn không cho nhà nghiên cứu tiết lộ lỗ hổng. Thời hạn tiết lộ lỗ hổng bảo mật là 90 ngày được chấp nhận rộng rãi trong ngành bảo mật thông tin.
Apple đã công bố một chương trình bug bounty, tuy nhiên các nhà nghiên cứu bảo mật không mặn mà và đánh giá cao chương trình thưởng lỗi của Apple vì công ty này ngày càng cố tình trì hoãn việc sửa lỗi và cố gắng "bịt miệng" các nhà nghiên cứu. Điển hình có thể kể đến nhóm nghiên cứu bảo mật nổi tiếng của Google, Project Zero đã từ chối tham gia và tuân thủ các nguyên tắc trong chương trình thưởng lỗi của Apple.
Theo ZDNet
Chỉnh sửa lần cuối bởi người điều hành: