https://www.bitdefender.com/blog/hotforsecurity/mac-webcam-hijack-flaw-wins-man-100-500-from-apple/
独立したセキュリティ研究者は、悪意のあるWebサイトがアカウントを乗っ取ってユーザーのWebサイトを制御する可能性のある、macOS用の同社のSafariブラウザのセキュリティホールを発見した後、Appleから100,500ドルのバグ報奨金を受け取りました。
BugPoCの創設者でもあるジョージア工科大学のRyanPickrenは、深刻なセキュリティ問題につながる可能性のあるAppleのSafariブラウザのユニバーサルクロスサイトスクリプティング(UXSS)の欠陥を発見しました。
ただし、macOSによって信頼されているApple iCloudおよびSafariに組み込まれている機能を利用することにより、疑いを持たないユーザーは、無害なイメージを開くのではなく、Mac上で悪意のあるファイルを実行することになります。
その結果、攻撃者はSafariの制御を奪い、ユーザーがログインしているアカウントにアクセスし、さらにはユーザーのマイクやWebカメラにアクセスする可能性があります。
Pickrenはブログ投稿で、攻撃によってUXSS攻撃を使用して、任意のコードをWebサイトに挿入する方法について説明しています。
Macのウェブカメラハイジャックの欠陥がApple、GrahamCluleyから$ 100,500を獲得
security summary
コメント