تم تصحيح ثغرة في البرمجة النصية عبر المواقع المخزنة (XSS) في مجال iCloud بواسطة Apple. حيث أدعي فيشال بهاراد ، صائد المكافآت ومختبر الاختراق ، أنه اكتشف الخلل الأمني ، وهي مشكلة XSS مخزنة في موقع icloud.com.
يمكن استخدام ثغرات XSS المخزنة ، والمعروفة أيضًا باسم XSS المستمر ، لتخزين الحمولات على خادم مستهدف ، وإدخال نصوص برمجية ضارة في مواقع الويب ، ومن المحتمل استخدامها لسرقة ملفات تعريف الارتباط ، ورموز الجلسة ، وبيانات المتصفح.
وفقًا لـ بهاراد ، تم العثور على عيب XSS في icloud.com في ميزات Page / Keynotes في مجال iCloud التابع لشركة Apple. من أجل تشغيل الخطأ ، كان المهاجم بحاجة إلى إنشاء محتوى Pages أو Keynote جديد باستخدام حمولة XSS تم إرسالها في حقل الاسم.
سيحتاج هذا المحتوى بعد ذلك إلى حفظه وإرساله أو مشاركته مع مستخدم آخر. سيُطلب من المهاجم بعد ذلك إجراء تغيير أو اثنين على المحتوى الضار ، وحفظه مرة أخرى ، ثم زيارة "الإعدادات" و "المستعرض كافة الإصدارات".
قال الباحث إنه بعد النقر على هذا الخيار ، سيتم تشغيل حمولة XSS.
قدم بهاراد أيضًا فيديو إثبات المفهوم (PoC) لإثبات الضعف.
ليست هناك تعليقات:
إرسال تعليق