İCloud web sitesinde XSS güvenlik açığı bulundu. Hintli baghunter ve Pentester Vishal Bharad, iCloud.com’da depolanan XSS hatasını keşfetti.
Başlangıçta araştırmacı sitede CSRF (Siteler Arası İstek Sahteciliği), IDOR (Güvenli Olmayan Doğrudan Nesne Başvurusu), mantıksal hatalar vb. İle ilgili güvenlik açıklarını aradı, ancak sonunda yanlışlıkla XSS’yi keşfetti.
Güvenlik açığı, iCloud’da barındırılan Apple Pages ve Keynote’ta mevcuttu. Hatadan yararlanmak, yeni bir belge veya sunum oluşturmak ve ad alanına bir XSS yükü enjekte etmek anlamına geliyordu.
İCloud web sitesinde XSS güvenlik açığı bulundu
Temel olarak, sorundan yararlanmak için saldırganın kurbanıyla bu tür kötü amaçlı bir belge veya sunuma giden bir bağlantıyı paylaşması ve ardından onu ayarlara girip Tüm Sürümlere Göz At işlevini kullanmaya ikna etmesi gerekiyordu. Kurban Tüm Sürümlere Gözat’ı tıklar tıklamaz, saldırganın kötü amaçlı yükü tarayıcısında başlatıldı. Böyle bir saldırıya bir örnek aşağıdaki videoda mevcuttur.
Bharad, sorunu Ağustos 2020’de keşfettiğini ve bunu hemen Apple’a bildirdi. Güvenlik açığı yalnızca sonbaharda giderildi ve uzmana bu hatayı keşfettiği için kendisine 5.000 ABD doları ödendiğini öğrendi.
Apple iCloud Kesintisi Yaşandı!
Apple iCloud Kesintisi Yaşandı. Apple kullanıcıları, 24 saatten uzun süredir devam eden iCloud kesintisi nedeniyle yeni aygıtları kurma veya bulutta depolanan dosyalara erişme konusunda sorunlar yaşıyor.
Dün saat 04:45 EST itibarıyla Apple, kullanıcıların hizmette oturum açmasını, dosyalara erişmesini veya yeni aygıtlar kurmasını engelleyen iCloud hizmetinde bir kesinti yaşıyor.
