Post Top Ad

Your Ad Spot

martes, 25 de agosto de 2020

Error descubierto en el navegador Safari después del parche Delays de Apple

Un investigador de seguridad encontró un error en el navegador Safari de Apple. Este error de Safari podría permitir a los piratas informáticos filtrar o robar archivos de los dispositivos del usuario. Los detalles sobre el error de Safari se publicaron ayer en una publicación de blog.

El investigador de seguridad encontró un error en el navegador Safari

Error en Safari
Un investigador de seguridad Pawel Wylecial, también cofundador de la firma de seguridad polaca REDTEAM.PL ha descubierto el error. Anteriormente, en abril, Pawel Wylecial informó sobre el error, pero no hubo solución. Entonces el investigador subió la publicación con sus hallazgos. Sin embargo, el fabricante del sistema operativo se demoró para corregir el error.
En una  publicación de blog  , el investigador escribió que el error permanece en la API Web Share de Safari. Permite a los usuarios compartir enlaces, archivos y otro contenido desde el navegador a través de aplicaciones de terceros. Safari es compatible con iOS y macOS, lo que permite compartir archivos almacenados en el disco duro local.
Este es un gran problema con la privacidad, ya que puede permitir que las páginas web maliciosas inviten a los usuarios a compartir un artículo por correo electrónico. Pero al final, filtran en secreto un archivo de su dispositivo.
Sin embargo, el investigador de Wylecial dijo que el error no es muy grave. Como la interacción del usuario y la ingeniería social compleja son necesarias para engañar a los usuarios para que filtren los archivos locales. Pero también dijo que los atacantes podrían hacer que el usuario compartiera archivos fácilmente.
Ahora, el problema principal no es solo el error, sino cómo Apple manejó el informe de error. Apple ya no ha tenido un parche listo, y la compañía también intentó retrasar al investigador para que no publicara su hallazgo. 
Las situaciones a las que se ha enfrentado Wylecial se están volviendo comunes entre los cazadores de errores de iOS y macOS.
Como, cuando el investigador reveló sobre el error, todos los demás investigadores también informaron el mismo problema en el que Apple se demoró en corregir los errores que informaron hace un año.
En julio, Apple anunció las reglas del programa Security Research Device, en el que el equipo de seguridad Vaunted Project Zero de Google no participó. El equipo dijo que las reglas del programa fueron escritas para limitar la confesión pública y amordazar a los investigadores de seguridad sobre los hallazgos.
En abril, otro investigador informó sobre lo mismo con el programa de recompensas por errores de Apple, al que dijo "una broma".

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

outbrain

Páginas