Az Apple biztonsági jutalomprogramjának kritikájaként 3 iOS 0day részleteit publikálta egy szakértő

Címkék

Denis Tokarev IT biztonsági szakértő a sokak által kritizált Apple Bug Bounty Program-mal való tapasztalatairól blogolt és nem éppen pozitív felhanggal. Állítása szerint az általa beküldött 4 sebezhetőségből az Apple mindössze egyet javított, három pedig a nemrég kiadott iOS 15-ben is jelen van. Tokarev azt állítja, hogy a bugokat 2021. március 10. és május 4. közt jelentette az Apple-nek. A szakember azt is sérelmezi, hogy az általa bejelentett és az Apple által javított hibánál az Apple lefelejtette megemlíteni őt, mint bejelentő.

Az Apple elnézést kért a késlekedésért, állította, hogy még mindig vizsgálja ezeket a hibákat és azt, hogy hogyan tudná javítani annak érdekében, hogy megvédhesse ügyfeleit:

We saw your blog post regarding this issue and your other reports. We apologize for the delay in responding to you," Apple told Tokarev. "We want to let you know that we are still investigating these issues and how we can address them to protect customers. Thank you again for taking the time to report these issues to us, we appreciate your assistance. Please let us know if you have any questions.

 Tokarev blogbejegyzése a technikai részletekkel itt olvasható.

Hozzászólások

Ez van akkor, ha olcsón outsource-olsz mindent...
Ami utóbbi időben szintén aranyos tőlük, hogy nem árulják el, mit "javítanak" a patch-ek. Pl.:
https://support.apple.com/en-us/HT211896macOS Big Sur 11.5.2 includes bug fixes for your Mac - Na köszi! :D

De most komolyan... 2021-ben még mindig ott tart a macOS, hogy nem sikerül rendesen validálni egy inputot, mert gondot okoznak a kis- és nagybetűk? Úgy néz ki, igen.

"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."