Исследователь Павел Уайлсиал в понедельник обнаружил ошибку Safari после того, как Apple сказал, что выходящий патч придется ждать до весны 2021 года.
Уайлсиал, основавший польскую исследовательскую группу REDTEAM.PL, впервые обнаружил и проинформировал Apple об этой проблеме в апреле, отметив, что уязвимость может привести к утечке информации о пользователях и быть использована для кражи данных как на iOS, так и на Mac, согласно сообщению в блоге в понедельник.
Ошибка коренится в Apple Web Share API, новом стандарте, который позволяет обмениваться ссылками, файлами и другими данными из браузера через сторонние приложения, сообщает ZDNet. По словам Wylecial, реализация Apple поддерживает схему file:, что означает, что общие сообщения в некоторых случаях могут включать файлы из локальной системы.
Wylecial характеризует проблему как низкий риск, поскольку для облегчения потенциальной утечки данных требуется взаимодействие с пользователем. Однако он отмечает, что пользователи могут не знать, что они делятся локальными данными, так как прикрепленные файлы могут быть в значительной степени «невидимыми» во время процесса.
Как указывает ZDNet, более серьезной проблемой является обработка сообщения об ошибке Apple.
Apple признала, что анализирует проблему примерно через неделю после получения первоначального предупреждения Wyliecial, но несколько последующих запросов об обновлении статуса остались без ответа.
В начале августа Wylecial сообщил компании, что ошибка будет публично раскрыта 24 августа. Apple попросила не сообщать об этом, заявив, что проблема будет решена в весеннем обновлении безопасности 2021 года. Считая предложенный график необоснованным, Wylecial решил подробно описать ошибку в своем блоге.
