Apple ha corretto una vulnerabilità di sicurezza in iCloud che avrebbe potuto essere utilizzata per inviare malware agli utenti Mac.
Questa falla di sicurezza avrebbe consentito ad un malintenzionato di incorporare codice dannoso in documenti Pages o Keynote, che potevano poi essere condivisi con altri. Come riporta ZDNet, l’esperto in sicurezza Vishal Bharad afferma di aver scoperto questa falla legata ad un problema XSS presente su icloud.com.
Le vulnerabilità XSS memorizzate, note anche come XSS persistenti, possono essere utilizzate per archiviare payload su un server di destinazione, iniettare script dannosi nei siti Web e potenzialmente essere utilizzate per rubare cookie, token di sessione e dati del browser.
Secondo Bharad, il difetto XSS in icloud.com è stato trovato nelle funzionalità Page/Keynotes del dominio iCloud di Apple. L’esperto ha ricevuto da Apple 5.000$ per aver scoperto e segnalato il bug, un pagamento relativamente esiguo per quello che era un difetto potenzialmente molto grave, malgrado fossero necessari molti passaggi specifici che lo rendevano difficile da sfruttare:
Per attivare il bug, un utente malintenzionato doveva creare nuovi documenti Pages o contenuti Keynote con un payload XSS inviato nel campo del nome. Questo contenuto doveva quindi essere salvato e inviato o condiviso con un altro utente. A quel punto, il malintenzionato doveva apportare una o due modifiche al contenuto dannoso, salvarlo di nuovo e quindi andare in “Settings” e “Browser All Versions”. Dopo aver fatto clic su questa opzione, il payload XSS si sarebbe quindi attivato.
Il problema è stato risolto da Apple.