Дослідник безпеки Pawel Wylecial опублікував подробиці про уразливість в браузері Safari, яка може бути використана для крадіжки файлів з пристроїв користувачів.
Проблема пов’язана з реалізацією в браузері Web Share API – нового стандарту, що дозволяє користувачам поділитися текстом, файлами, посиланнями і іншим контентом. За словами дослідника, Safari (версія як для iOS, так і для macOS) підтримує обмін файлами, що зберігаються на жорсткому диску (через URI схему file://), в результаті при надсиланні посилання функції navigator.share в повідомлення додається файл із файлової системи, що може привести до витоку даних.
Уразливість не особливо небезпечна, оскільки для її експлуатації потрібна взаємодія з користувачем, хоча “зробити файл невидимим для користувача досить просто”, зазначив експерт.
Однак проблема не стільки в самій уразливості або в тому, наскільки легко її проексплуатувати, а в ставленні компанії Apple до звітів про уразливість.
Спочатку дослідник повідомив Apple про баг у квітні нинішнього року, однак Apple відклала випуск патча майже на рік – до весни 2021 року. Крім того, компанія попросила дослідника почекати з публікацією інформації про уразливість до наступної весни, незважаючи на стандартний період в 90 днів, прийнятий в ІБ-співтоваристві.
Подібна ситуація не поодинока. Останнім часом на адресу Apple все частіше звучать звинувачення в тому, що компанія спеціально відкладає виправлення уразливостей і намагається утримати дослідників від публікації даних про них. У самій Apple поки ніяк не коментують ситуацію.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як захиститися від незаконного криптомайнінгу?
Як швидко знайти системні налаштування у Windows 10? – ІНСТРУКЦІЯ
Як допомогти Gmail розпізнавати спам та заблокувати небажані листи?
10 кращих додатків для обміну повідомленнями на Android
Як поділитися своїм місцезнаходженням з друзями на iOS і Android? ІНСТРУКЦІЯ
Як відформатувати текст у Google Таблицях? ІНСТРУКЦІЯ
Фішингову кампанію з використанням бренду Netflix виявили фахівці з кібербезпеки. Зловмисники розсилають користувачам листи з повідомленням про заборгованість і вимогою змінити платіжні дані для продовження підписки.
Також сервіс “Карти” від Google зараз активно удосконалюють, щоб полегшити розрізнення природних особливостей навколишнього середовища – щоб люди могли побачити з великою точністю, де розташовані гірські крижані шапки, пустелі, пляжі чи густі ліси. За даними Google, нові “Карти” будуть доступні у 220 країнах та окремих територіях, які зараз підтримуються програмою – “від найбільших мегаполісів до малих селищ”.
Зверніть увагу, щойно відкритий дослідниками P2P-ботнет уразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року. Фірма з кібербезпеки Guardicore опублікувала дослідження FritzFrog, однорангового (P2P) ботнету, який було виявлено за допомогою устаткування компанії з січня цього року.
До речі, Huawei підтвердила, що Android-пристрої її виробництва як і раніше будуть отримувати оновлення функціоналу та патчі безпеки. Як повідомили представники Huawei порталу Huawei Central, компанія продовжить оновлювати свої смартфони (в тому числі Honor) з передвстановленим магазином додатків Google Play і Huawei Mobile Services.
Microsoft випустила позапланове оновлення KB4578013, що виправляє дві уразливості підвищення привілеїв в сервісі віддаленого доступу (Windows Remote Access).
