9 पॉइंट द्वारा xguru 2022-02-02 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • iCloud Sharing और Safari 15 का उपयोग करके, कैमरा और उपयोगकर्ता जिन सभी वेबसाइटों पर जाते हैं उनकी जानकारी तक पहुँच संभव करने वाली एक भेद्यता

  • 4 zero-day bugs खोजकर रिपोर्ट किए और $100,500 का इनाम मिला

  • इन bugs को 2022 की शुरुआत में पूरी तरह patch कर दिया गया, इसलिए उनसे जुड़ी जानकारी विस्तार से लिखकर सार्वजनिक की गई

Universal Cross-Site Scripting (UXSS) bug

  • ब्राउज़र की भेद्यता का उपयोग करके XSS condition हासिल की गई और सभी sites तक पहुँच संभव हो गई

  • iCloud file डाउनलोड करके चलाने वाला ShareBear app, एक बार file डाउनलोड और execute करने के बाद दोबारा नहीं पूछता—इसका फायदा उठाया गया

  • एक बार image डाउनलोड कर permission हासिल करने के बाद, executable binary डाउनलोड कराई गई ताकि attack code वाला Webarchive खोला जा सके

  • इस web archive को सीधे खोलने पर Gatekeeper रोकता है, इसलिए Windows URL file बनाकर link कराया गया और इसे भी bypass किया गया

  • URL file के अंदर लिखे जाने वाले वास्तविक hard disk path को जानना ज़रूरी था, लेकिन वह जानना कठिन था, इसलिए पहले DMG file mount की गई

1 टिप्पणियां

 
xguru 2022-02-02

समझाना भी जटिल है.. इसे पता लगाने में उन्होंने कितना समय लगाया होगा, कहना मुश्किल है.

Apple की vulnerability से पैसे कमाने की कहानी मैं पहले भी एक बार पोस्ट कर चुका हूँ.