[釘科技編譯] 綜合《appleinsider》和《masterhacks》消息：一名網(wǎng)絡安全研究人員披露了Safari Web瀏覽器中漏洞的詳細信息，該漏洞可能使攻擊者能夠從用戶設備中竊取文件。該漏洞是由波蘭安全公司REDTEAM.PL的聯(lián)合創(chuàng)始人Pawel Wylecial發(fā)現(xiàn)的。

Wylecial于4月初向蘋果公司報告了該錯誤，據(jù)稱，蘋果不僅在4個多月之后沒有及時準備好補丁，而且還試圖將研究人員發(fā)現(xiàn)的問題的解決推遲到明年春天，距離最初的漏洞報告將幾乎整整一年，這遠遠超過了信息產(chǎn)業(yè)界普遍接受的漏洞披露期限90天標準。由于發(fā)現(xiàn)修補錯誤的時間表不合理，Wylecial選擇將其發(fā)現(xiàn)公之于眾，在他的博客上詳細介紹了該漏洞。

該漏洞源于蘋果方面的一個新標準——Web Share API，該標準允許惡意網(wǎng)站邀請用戶通過電子郵件與聯(lián)系人共享鏈接，文件和其他數(shù)據(jù)。據(jù)Wylecial稱，這意味著在某些情況下共享消息可以包含本地系統(tǒng)中的文件，因此可以被利用來竊取iOS和Mac的數(shù)據(jù)。

Wylecial將問題描述為“低風險”，因為需要用戶交互才觸發(fā)潛在的數(shù)據(jù)泄漏。但關(guān)鍵的是，由于過程中可以使附件不可見，因此，用戶可能不知道自己正在共享本地數(shù)據(jù)，導致數(shù)據(jù)泄露。

蘋果公司承認，在收到Wyliecial的初始報告大約一周后，就在分析該問題，但還未答復有關(guān)更新補丁的多個問題。Wylecial表示，盡管蘋果宣布了一項專門的漏洞獎勵計劃，但越來越多的人稱蘋果故意拖延漏洞，并試圖讓安全研究人員噤聲。(釘科技綜合《appleinsider》和《masterhacks》消息編譯)