研究员发现macOS 版本Safari 浏览器中的严重漏洞，获奖10.5万美元

Pickren 表示该漏洞可导致恶意人员“完全访问用户在Safari 浏览器中访问过的所有网站，意味着如果你正在某个页签访问我的恶意网站，你在另一个页签中打开推特网站，则我可以跳到推特页签并肆意妄为。因此它可使我在从Safari浏览器中访问的每个网站上接管账户。”

目前，苹果公司已修复该漏洞。

攻击牵涉网页归档文件（保存网页时Safari生成的）和发布 app 的自定义URI 方案。在Safari 中打开非标准 URI 方案时，会在加载外部app处理请求前触发警告对话框。尽管如此，收到请求时，Safari 中硬编码的受信任方案清单会在没有提示的情况下自动打开。其中一种方案是 icloud-sharing：，该方案启动操作系统的内部 ShareBear app来通过 iCloud 分享文档。在 Safari 中请求 icloud-sharing 连接可导致 ShareBear 启动以提权远程内容。

Pickren 在分析中指出，“ShareBear 很有意思，因为共享iCloud 文档看似是下载并启动网页归档文件的合理路径。” 当 ShareBear提取请求内容时，这是第一次为该文件这么做，它要求用户接受该文件。如果用户接受并下载该文档，不管是谁创建了该共享文档，后续都可更改 Mac 系统上的文件内容，而 ShareBear 将自动更改受害者机器上的文件。

因此，某网页将提供看似无害的 PNG，由受害者接收并保存到磁盘。文件所有人之后将把它更改到网页归档文件（包括类型在内）并通过受害者访问的网页发布。

Pickren 对该严重漏洞的归纳是，“从本质上讲，受害者已经给予攻击者将多态文件植入机器的权限以及任何时候远程启动该文件的权限。太糟糕了。昨天同意查看我的PNG文件？今天它将成为我随时都能自动启动的可执行文件的二进制。”

Pickren 集中于在受害者设备上打开网络归档文件，因为 macOS 的Gatekeeper 致力于阻止未被批准的应用运行以及阻止打开所下载的网页归档文件——似乎绕过网页归档限制更容易。做到这一点就像使用 .url 文件一样容易，加上通过 .dmg 文件技术来确保恶意网页归档存储在已知位置即 /Volume 文件夹。

最后，但攻击者的网页启动恶意网页归档时，它可在攻击者选择的任意来源twitter.com 或 google.com 运行 JavaScript，该代码可做的事情和用户在该上下文可做的事情一样多，这就意味着可在受信任视频聊天上下文如facetime.apple.com 中打开网络摄像头。

Pickren 表示，苹果公司分两部分解决了这两个漏洞。第一，发布 ShareBear 已更新的 Monterey 12.0.1，以披露所下载文件而非启动文件；第二，修复 Safari 引擎 WebKit 中的漏洞 (CVE-2021-30861)以阻止打开被隔离的文件。

Pickren 在2021年年中找到并报告该漏洞和相关漏洞，为此获得10.5万美元的奖励。

目前苹果公司尚未就此事置评。

https://www.theregister.com/2022/01/26/apple_filesharing_exploit/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~