Эксперт опубликовал детали уязвимости в Safari — Apple тянет с патчем

Эксперт опубликовал детали уязвимости в Safari — Apple тянет с патчем

Эксперт опубликовал детали уязвимости в Safari — Apple тянет с патчем

Исследователь в области кибербезопасности из польской компании REDTEAM.PL опубликовал детали уязвимости в браузере Safari. Эксплуатация бага приводит к утечке или краже файлов с устройства пользователя.

Павел Вилечал сообщил Apple о проблеме безопасности ещё весной этого года. Однако после того как купертиновцы отодвинули выход патча на весну 2021-го, специалист решил раскрыть подробности бага.

В блоге Вилечал пишет, что уязвимость присутствует в имплементации Web Share API — новом веб-стандарте, предлагающем кросс-браузерный API для расшаривания текста, ссылок, файлов и другого контента.

По словам специалиста, Safari (как в iOS, так и в macOS) позволяет делиться файлами, сохранёнными на локальном диске пользователя.

В такой реализации эта функция представляет серьёзную проблему конфиденциальности, поскольку вредоносные веб-страницы могут предложить посетителям поделиться некой статьёй с друзьями по электронной почте. В это же время злоумышленники смогут выкрасть файл с устройства такого посетителя.

Процесс эксплуатации уязвимости исследователь продемонстрировал на видео, с которым можно ознакомиться ниже.

Telegram внезапно попросил Premium за цитаты — но, похоже, это баг

В Telegram у части пользователей появилась странная плашка: при попытке оформить цитату мессенджер предлагает оформить подписку Premium. Формально платными в Telegram действительно могут быть некоторые возможности расширенного форматирования и Markdown.

На проблему обратил внимание телеграм-канал «Код Дурова». Но обычные цитаты к премиальным функциям относиться не должны.

Поэтому новая плашка выглядит не как очередная монетизация всего живого, а скорее как техническая ошибка.

 

 

Тем более ограничение уже удалось обойти. Достаточно нажать «Сбросить и отправить» — Send Without Formatting. После этого предупреждение исчезает, а сама цитата в сообщении остаётся.

То есть Telegram пока как будто говорит: «Хотите цитату — платите». Но если нажать соседнюю кнопку, выясняется, что платить всё-таки не обязательно.

Вероятнее всего, речь идёт о баге интерфейса или проверки форматирования, который исправят в одном из следующих обновлений. Официальных пояснений от Telegram на момент публикации нет.

Пока же пользователям доступен простой обходной путь: сбросить форматирование перед отправкой и сохранить цитату без Premium. Монетизация не удалась, по крайней мере, в этот раз.

RSS: Новости на портале Anti-Malware.ru