Actualités

Apple : 55 vulnérabilités découvertes dont des failles XSS !

Fin Mai, une poignée de chercheurs sécuritaires se sont amusés à trifouiller le code de la pomme verte pour débusquer quelques failles moyennant récompense : pas moins de 55 vulnérabilités ont été découvertes dont certaines qualifiées de critiques…

 

En effet, certaines concernaient des failles XSS (Cross-Site Scripting) depuis les comptes-utilisateurs iCloud ou encore depuis Apple Books. Parmis les nombreuses brèches, on notera, entre-autres, un exploit potentiel depuis une bannière au sein d’iTunes alors qu’un livre était ajouté depuis la fonction Connect. Les deux élements pouvaient indirectement mener à une faille XSS avec certaines informations liées à l’achat ou au déplacement du e-livre. A noter que l’ensemble de ce service repose sur AWS (Amazon Web Server). L’injection passait par l’exploitation d’une page 403 (accès interdit) avec un chargement en PhantomJS pouvant mener à une attaque de type SSRF (Server-Side Request Forgery).

Au total, le groupe a touché 288 500 dollars dans le cadre du bug bounty d’Apple (la récompense variant selon la gravité et le type de la faille débusquée) : “ils possèdent toute la plage IP 17.0.0.0/8, qui comprend 25 000 serveurs Web dont 10 000 sous apple.com, 7 000 autres domaines uniques, et pour couronner le tout, leur propre TLD (dot apple). Notre temps a été principalement consacré à la plage IP 17.0.0.0/8, .apple.com et .icloud.com, car c’était là que les fonctionnalités intéressantes semblaient se trouver“… A veiller !

 

Source : Sam Curry – 7 Octobre 2020 – Recherche de bugs Apple : 55 failles découvertes.




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020