[釘科技編譯] 綜合《appleinsider》和《masterhacks》消息：一名網(wǎng)絡(luò)安全研究人員披露了Safari Web瀏覽器中漏洞的詳細(xì)信息，該漏洞可能使攻擊者能夠從用戶設(shè)備中竊取文件。該漏洞是由波蘭安全公司REDTEAM.PL的聯(lián)合創(chuàng)始人Pawel Wylecial發(fā)現(xiàn)的。

Wylecial于4月初向蘋果公司報(bào)告了該錯(cuò)誤，據(jù)稱，蘋果不僅在4個(gè)多月之后沒有及時(shí)準(zhǔn)備好補(bǔ)丁，而且還試圖將研究人員發(fā)現(xiàn)的問題的解決推遲到明年春天，距離最初的漏洞報(bào)告將幾乎整整一年，這遠(yuǎn)遠(yuǎn)超過了信息產(chǎn)業(yè)界普遍接受的漏洞披露期限90天標(biāo)準(zhǔn)。由于發(fā)現(xiàn)修補(bǔ)錯(cuò)誤的時(shí)間表不合理，Wylecial選擇將其發(fā)現(xiàn)公之于眾，在他的博客上詳細(xì)介紹了該漏洞。

該漏洞源于蘋果方面的一個(gè)新標(biāo)準(zhǔn)——Web Share API，該標(biāo)準(zhǔn)允許惡意網(wǎng)站邀請(qǐng)用戶通過電子郵件與聯(lián)系人共享鏈接，文件和其他數(shù)據(jù)。據(jù)Wylecial稱，這意味著在某些情況下共享消息可以包含本地系統(tǒng)中的文件，因此可以被利用來竊取iOS和Mac的數(shù)據(jù)。

Wylecial將問題描述為“低風(fēng)險(xiǎn)”，因?yàn)樾枰脩艚换ゲ庞|發(fā)潛在的數(shù)據(jù)泄漏。但關(guān)鍵的是，由于過程中可以使附件不可見，因此，用戶可能不知道自己正在共享本地?cái)?shù)據(jù)，導(dǎo)致數(shù)據(jù)泄露。

蘋果公司承認(rèn)，在收到Wyliecial的初始報(bào)告大約一周后，就在分析該問題，但還未答復(fù)有關(guān)更新補(bǔ)丁的多個(gè)問題。Wylecial表示，盡管蘋果宣布了一項(xiàng)專門的漏洞獎(jiǎng)勵(lì)計(jì)劃，但越來越多的人稱蘋果故意拖延漏洞，并試圖讓安全研究人員噤聲。(釘科技綜合《appleinsider》和《masterhacks》消息編譯)