Appleは、iCloudのWebサイトで作成されたファイルからマルウェアを送り込まれる可能性のある脆弱性を修正した模様です。脆弱性を発見したセキュリティ研究者には、報奨金が支払われています。
iCloud.comで作成したファイルが攻撃に使われる脆弱性
Webブラウザ上で動作するiCloudのPagesやKeynoteアプリで、悪意を持った攻撃者がマルウェアなどを送り込める脆弱性を発見した、とセキュリティ研究者のビシャル・バラド氏が報告しています。
発見されたのは、XSS(クロスサイトスクリプティング)と呼ばれる脆弱性を狙ったもので、iCloud.com上で作成されたPagesかKeynoteのファイルに攻撃者が悪意あるコードを埋め込むことを可能にするため、これらが共有されることで拡散する可能性があります。
Appleはすでに脆弱性をサーバー側で修正している模様で、最近のソフトウェアアップデートでこの脆弱性の修正に関する説明は発見されていません。
バラド氏が公開した、脆弱性を紹介する動画はこちらでご覧ください。
発見者は約52万円の報奨金を獲得
バラド氏は、2020年8月にこの問題をAppleに報告したところ、10月に5,000ドル(約52万円)の報奨金を受け取ったそうです。
米メディア9to5Macは、脆弱性の深刻さの割に報奨金が安いのは、攻撃に悪用するには、特定の手順が必要とされるためではないか、と指摘しています。
Appleは2016年にバグ報奨金プログラムを開始していますが、当初は招待制で報奨金の上限は20万ドル(約2,100万円)でした。2019年にはプログラムが広く公開され、報奨金の上限が150万ドル(約1億5,800万円)に引き上げられています。
Source:ビシャル・バラド氏のブログ via ZDNet, 9to5Mac
(hato)