Câu chuyện tìm ra lỗi webcam của Apple và nhận thưởng 100.000 USD
(ryanpickren.com)-
Lỗ hổng cho phép truy cập vào camera và thông tin về mọi trang web người dùng truy cập bằng cách tận dụng iCloud Sharing và Safari 15
-
Đã tìm ra và báo cáo 4 lỗi 0-day, nhận tổng tiền thưởng $100,500
-
Các lỗi này đều đã được vá vào đầu năm 2022, nên nay công bố chi tiết đầy đủ liên quan
Lỗi Universal Cross-Site Scripting (UXSS)
-
Tận dụng lỗ hổng của trình duyệt để đạt điều kiện XSS và từ đó có thể truy cập mọi trang web
-
Lợi dụng việc ứng dụng ShareBear tải và chạy tệp từ iCloud, và sau khi đã tải/chạy một lần thì sẽ không hỏi lại
-
Sau khi lấy quyền bằng cách tải một hình ảnh một lần, khiến nó tải một binary có thể thực thi để mở một
Webarchivechứa mã tấn công -
Vì Gatekeeper chặn việc mở trực tiếp web archive này, nên dùng tệp URL của Windows để tạo liên kết và qua mặt cơ chế đó
-
Cần biết đường dẫn thực trên ổ cứng để ghi vào nội dung tệp URL, nhưng điều đó khó xác định nên trước tiên gắn kết tệp DMG
1 bình luận
Chỉ phần giải thích thôi cũng đã phức tạp rồi... thật không biết đã phải dành bao nhiêu thời gian để tìm ra được điều này.
Trước đây tôi cũng từng đăng một câu chuyện về việc kiếm tiền từ lỗ hổng của Apple.