Apple solucionó una vulnerabilidad grave en iCloud.com

Un día más, uno más vulnerabilidad – esto, afortunadamente, ya ha sido debidamente corregido por Apple incluso antes de su lanzamiento al mundo. El objetivo de la época era el iCloud.como, más precisamente, editar documentos en las versiones en línea de Paginas es de Fundamental.

De acuerdo con ZDNet, el investigador de ciberseguridad Vishal Bharad descubrió una falla seria en la versión en línea de iCloud: los atacantes podían asignar una carga útil XSS malicioso en el campo de nombre del documento en Pages o Keynote y luego compartir el archivo con otro usuario.

El ataque se completará con éxito si la víctima realiza un cambio en el archivo, guarda la nueva versión y hace clic en la opción «Ver todas las versiones». Sin duda, es una secuencia de pasos muy específica, pero una que, si tiene éxito, podría dar al atacante el control sobre la navegación de la víctima, es decir, una vulnerabilidad muy grave.

El video a continuación demuestra una prueba de concepto de todo:

Afortunadamente, ahora todo está correctamente resuelto: Bharad informó la falla al equipo de seguridad de Apple, quien tapó el agujero en iCloud.com y realizó el pago de $ 5,000 para el investigador, como parte de su programa de recompensas por errores de seguridad, una cantidad relativamente pequeña, presumiblemente debido al grado de especificidad de los pasos involucrados en la realización del ataque.

No hay información sobre cuándo Apple solucionó la falla, pero Bharad recibió su pago en octubre del año pasado, por lo que probablemente hemos estado a salvo durante un par de meses. Muy bien entonces.

Artículos relacionados