Accueil Technologie Une vulnérabilité de sécurité dans iCloud aurait été corrigée par Apple

Une vulnérabilité de sécurité dans iCloud aurait été corrigée par Apple

Une faille de sécurité dans iCloud qui aurait pu être utilisée pour envoyer des logiciels malveillants aux utilisateurs de Mac a maintenant été corrigée par Apple, selon un nouveau billet de blog.

Cela permettait à un attaquant d’intégrer du code malveillant dans des documents Pages ou Keynote, qui pouvait ensuite être partagé avec d’autres…

Rapports ZDNet:

Vishal Bharad, chasseur de primes et testeur de pénétration, affirme avoir découvert la faille de sécurité, qui est un problème XSS stocké sur icloud.com.

Les vulnérabilités XSS stockées, également connues sous le nom de XSS persistant, peuvent être utilisées pour stocker des charges utiles sur un serveur cible, injecter des scripts malveillants dans des sites Web et potentiellement être utilisées pour voler des cookies, des jetons de session et des données de navigateur.

Selon Bharad, la faille XSS dans icloud.com a été trouvée dans les fonctionnalités Page / Keynotes du domaine iCloud d’Apple.

Bharad dit qu’Apple lui a payé une prime de bogue de 5000 $ pour l’avoir trouvé et signalé.

Le paiement relativement faible pour ce qui était potentiellement une faille très grave était probablement dû aux étapes très spécifiques nécessaires pour le déclencher, ce qui le rendait difficile à exploiter.

Afin de déclencher le bogue, un attaquant devait créer de nouveaux contenus Pages ou Keynote avec une charge XSS soumise dans le champ de nom.

Ce contenu devra ensuite être enregistré et envoyé ou partagé avec un autre utilisateur. Un attaquant serait alors invité à apporter une ou deux modifications au contenu malveillant, à l’enregistrer à nouveau, puis à visiter «Paramètres» et «Naviguer toutes les versions».

Après avoir cliqué sur cette option, la charge utile XSS se déclencherait, a déclaré le chercheur.

Vous pouvez voir ci-dessous une preuve de concept vidéo.

Apple a introduit pour la première fois des primes de bogues de sécurité en 2016, mais a été attaqué par des chercheurs en sécurité sur deux fronts. Premièrement, c’était un programme sur invitation seulement; deuxièmement, le paiement maximal était de 200 000 $. On a dit que les deux facteurs incitaient les gens à vendre les informations aux gouvernements et aux entreprises au chapeau noir qui les exploiteraient pour s’introduire dans les appareils Apple. À la fin de l’année dernière, la société de Cupertino a résolu ces deux problèmes en ouvrant le programme à tous et en augmentant le paiement maximal à 1,5 million de dollars.

FTC: Nous utilisons des liens d’affiliation automatique générant des revenus. Suite.

Consultez . sur YouTube pour plus d’informations sur Apple: