2月23日消息,根據ZDNet報告,安全研究人員維沙爾·巴拉德(Vishal Bharad)表示,在蘋果iCloud網站找到了可以允許黑客注入病毒或惡意腳本的漏洞。目前,蘋果公司已經修復了這個漏洞。
存儲式XSS漏洞也被稱為持久性XSS,可用於在目標服務器上存儲有效載荷,並藉助其將惡意腳本注入網站,可能被用於竊取cookie、會話令牌和瀏覽器數據。巴拉德表示,這次安全漏洞包括在iCloud網站創建Pages或Keynote文檔,名稱包含XSS payload。將創建好的文檔分享,然後更改、保存,在設置中點擊查看所有版本,可以觸發XSS payload。此外,此漏洞需要蘋果在服務器端修復。
據悉,巴拉德在2020年8月7日向蘋果遞交了安全漏洞,並在2020年10月9日獲得了5000美元賞金。