အခုချိန်မှာတော့ သူ့ရဲ့ ထောက်ပြချက်နဲ့ Apple ကနေ ဒီလုံခြုံရေးယိုပေါက်ကို ပြန်ပြင်လိုက်ပြီ ဖြစ်ပါတယ်။

ရိုင်ယန် ပစ်ခ်ရမ်ဆိုတဲ့ ဆိုက်ဘာလုံခြုံရေး ကျောင်းသားတစ်ဦးဟာ Apple ထုတ် Mac ရဲ့ Webcam လုံခြုံရေးယိုပေါက်ကို ရှာဖွေတင်ပြနိုင်ခဲ့တာကြောင့် ဒေါ်လာ ၁၀၀၅၀၀ အထိ ဆုချီးမြှင့်ခံခဲ့ရတယ်လို့ ဆိုပါတယ်။ 

Apple ရဲ့ စနစ်ချို့ယွင်းချက်ရှာတွေ့သူတွေကို ဆုချီးမြှင့်တဲ့ Bug Bounty ပရိုဂရမ်ကနေ အခုလို ဒေါ်လာ ၁ သိန်းကျော် ချီးမြှင့်လိုက်တာလို့ Apple Insider သတင်းက ဖော်ပြပါတယ်။ ရိုင်ယန် ပစ်ခ်ရမ်ဟာ Macs ထုတ်ကုန်တွေပေါ်က Webcam ထဲကို ဟက်ကာတွေ တရားမဝင် ဝင်ရောက်နိုင်တဲ့ လမ်းကြောင်းကို ဖော်ထုတ်နိုင်ခဲ့သူဖြစ်ပြီး ဒီလုံခြုံရေးယိုပေါက်ဟာ iCloud Sharing ၊ Safari 15 တို့မှာ ပြဿနာဖြစ်နိုင်တယ်လို့ ဆိုပါတယ်။ 




Photo: republicworld


အခုချိန်မှာတော့ သူ့ရဲ့ ထောက်ပြချက်နဲ့ Apple ကနေ ဒီလုံခြုံရေးယိုပေါက်ကို ပြန်ပြင်လိုက်ပြီ ဖြစ်ပါတယ်။ လုံခြုံရေးဆိုင်ရာ ပြုပြင်မှုတွေ မလုပ်ခင်က ဒီအားနည်းချက်တွေကို သုံးပြီး အဖျက်အမှောက် ဝက်ဘ်ဆိုက်တစ်ခုဟာ တိုက်ခိုက်မှုလုပ်ဆောင်နိုင်တယ်လို့လည်း ဆိုပါတယ်။ ဒီထဲမှာ ဆိုက်ဘာတိုက်ခိုက်သူတွေကို iCloud ကနေ PayPal အထိ ဝက်ဘ်အခြေခံ အကောင့်တွေ အပြည့်အဝ ထိန်းချုပ်ခွင့်ပေးတာ ၊ မိုက်ခရိုဖုန်း ၊ ကင်မရာနဲ့ Screensharing သုံးဖို့ Permission ပေးတာတွေလည်း ပါဝင်ပါတယ်။ 

ပစ်ခ်ရမ်ရဲ့ အဆိုအရ အခုလို ဝင်ရောက်နိုင်တာမျိုးဟာ ဟက်ကာတွေအတွက် ထုတ်ကုန်တစ်ခုရဲ့ ဖိုင်စနစ်တစ်ခုလုံး အပြည့်အဝထိန်းချုပ်ခွင့်ရစေနိုင်တယ်လို့ ပြောပါတယ်။ ဒီလုံခြုံရေးယိုပေါက်ကနေ Safari ရဲ့ webarchive ဖိုင်တွေကို ပေါက်ကြားစေပြီး Browser သုံးတဲ့ စနစ်ဟာ ဝက်ဘ်ဆိုက်တွေကို Local Copies အဖြစ် သိမ်းထားစေရမှာပါ။ 

"ဒီဖိုင်တွေရဲ့ အရင်မမြင်ဖူးတဲ့ feature တစ်ခုက content ပုံဖော်သင့်တဲ့ Web မူရင်းကို သွားသတ်မှတ်ပါတယ်။ သိမ်းထားတဲ့ ဝက်ဘ်ဆိုက်ထဲက context ကို Safari ကနေ ပြန်တည်ဆောက်အောင် လုပ်လိုက်တာပါ။ ဒါပေမယ့်လည်း ၂၀၁၃ ခုနှစ်က Metasploit ရေးသူတွေ ထောက်ပြသလိုပါပဲ။ ဒီဖိုင်ကိုသာ ဟက်ကာတစ်ယောက်အနေနဲ့ တစ်နည်းနည်းနဲ့ modify လုပ်ပြီး ပြင်နိုင်ရင် သူတို့ဟာ ဒီဇိုင်းကနေ UXSS (Universal Cross-Site Scripting) ကိုလည်း ထိထိရောက်ရောက် ရယူနိုင်သွားမှာပါ။ "လို့ ပစ်ခ်ရမ်က ရေးထားပါတယ်။ 

Photo: appleinsider


Apple ဟာ Safari ရဲ့ webarchive ကို ပထမ စပြီး အကောင်အထည်ဖော်ချိန်က ဒီအချက်ကို ဆိုက်ဘာထိုးဖောက်မှုလုပ်နိုင်တဲ့ အစီအစဉ်တစ်ခုဖြစ်မှန်း မစဉ်းစားခဲ့ဘူးလို့လည်း သူက ပြောပါတယ်။ Safari 13 မတိုင်ခင်က ဝက်ဘ်ဆိုက်တစ်ခုဟာ မသိဖူးတဲ့ arbitrary file တွေကို ဒေါင်းလုပ်မဆွဲခင် သုံးစွဲသူတွေကို သတိပေးတာမျိုးတောင် မလုပ်ခဲ့ဘူးလို့ ဆိုပါတယ်။ ဒီနည်းနဲ့ webarchive ဖိုင်တွေကို ဝင်ယူတာ လွယ်ကူသွားတာလို့ ပစ်ခ်ရမ်က ပြောပါတယ်။

Apple ရဲ့ Bug Bounty ပရိုဂရမ်ဟာ တရားဝင် ဒေါ်လာ ၁ သန်းအထိ ပေးတာ ဖြစ်ပါတယ်။ ရိုင်ယန် ပစ်ခ်ရမ်ဟာ အရင်ကလည်း iPhone နဲ့ Mac ကင်မရာတွေရဲ့ ချို့ယွင်းချက်တွေကို ဖော်ထုတ်နိုင်ခဲ့ပြီး Apple ကနေ ဆုကြေးတွေ ရခဲ့သူလည်း ဖြစ်လို့ Apple ရဲ့ အကြီးဆုံး Bug Bounty ဆုရသူတစ်ဦးလို့ ဆိုရမှာပါ။ 



ဆက်စပ်အကြောင်းအရာများ

Share

က္က