Secondo quanto riferito da ZDNet, Apple ha corretto una vulnerabilità di sicurezza in iCloud che avrebbe potuto essere utilizzata per inviare malware agli utenti Mac.
Il malware ha consentito ad un utente malintenzionato di incorporare codice dannoso nei documenti Pages o Keynote, che potevano quindi essere condivisi con altri. Il rapporto rivela che il ricercatore di sicurezza Vishal Bharad ha scovato il problema poiché è legato ad una falla XSS archiviata in icloud.com.
Le vulnerabilità XSS memorizzate, note anche come XSS persistenti, possono essere utilizzate per archiviare payload su un server di destinazione, iniettare script dannosi nei siti Web e potenzialmente essere utilizzate per rubare cookie, token di sessione e dati del browser.
Secondo Bharad, il difetto XSS in icloud.com è stato trovato nelle funzionalità chiave di Pages/Keynote del dominio iCloud di Apple. Il ricercatore ha rivelato che ha ricevuto 5.000 dollari dal produttore di iPhone per aver trovato e segnalato il bug.
Tuttavia, il pagamento risulta relativamente basso per quello che era potenzialmente un difetto molto grave, nonostante fossero necessari diversi passaggi per sfruttarlo.
Per attivare il bug, un utente malintenzionato doveva creare nuove pagine o contenuti Keynote con un payload XSS inviato nel campo del nome.
Questo contenuto dovrebbe quindi essere salvato e inviato o condiviso con un altro utente. Successivamente, l’utente malintenzionato doveva apportare una o due modifiche al contenuto dannoso, salvarlo di nuovo e quindi visitare “Settings” e “Browser All Versions”.
Dopo aver fatto clic su questa opzione, il payload XSS si attivava.
Leggi o Aggiungi Commenti