Sicherheitsforscher Vishal Bharad hat bestätigt, dass er eine Sicherheitslücke gefunden hat, die es einem Hacker grundsätzlich ermöglicht hätte, einen Virus oder ein manipuliertes Script auf der iCloud-Webseite zu injizieren.
Apple schließt XSS-Sicherheitslücke auf iCloud.com
ZDNet berichtet, dass Sicherheitsforscher Vishal Bharad auf iCloud.com eine Sicherheitslücke entdeckt hat. Diese bestand darin, ein Pages- oder Keynote-Dokument auf der iCloud-Website mit einem Namensfeld zu erstellen, welches ein Cross-Site-Scripting enthielt. Wenn man das Dokument für einen anderen Benutzer freigeben, eine Änderung vorgenommen, abgespeichert und dann unter „Einstellungen“ auf „Alle Versionen durchsuchen“ geklickt hat, wurde das manipulierte Script ausgeführt.
Das es sich um eine Sicherheitslücke auf iCloud.com handelt, wurde diese Lücke nicht etwa mit einem Update gestopft, welches Apple für Anwender freigegeben hat, vielmehr hat Apple das Problem serverseitig gelöst. Laut Bharad hatte der Sicherheitsforscher die Lücke am 07. August 2020 bei Apple eingereicht. Im Rahmen des Bug Bounty Programms erhielt Bharad am 09. Oktober 2020 5.000 Dollar von Apple.
0 Kommentare