Apple a bouché une faille de sécurité de type XSS au niveau du site d’iCloud. Vishal Bharad, le chercheur en sécurité qui l’a découverte, donne quelques détails à son sujet.

iCloud.com Nouveau Design Blanc 2019

Une faille XSS sur le site d’iCloud

La faille de type XSS sur le site d’iCloud a concerné les documents de Pages et Keynote. Elle permettait d’injecter du code malveillant dans un document Pages ou Keynote pour ensuite le partager avec d’autres personnes. Apple a versé 5 000 dollars à Vishal Bharad pour sa découverte. Le fabricant a également fait le nécessaire pour boucher la faille. Le changement a eu lieu directement au niveau de ses serveurs. Les utilisateurs n’ont rien à faire de particulier.

Pour exploiter la faille, un hacker devait créer un nouveau document sur Pages ou Keynote avec le payload XSS dans le titre. Le contenu devait ensuite être enregistré et envoyé ou partagé avec un autre utilisateur. Le hacker était alors tenu de faire une ou deux modifications sur le document malveillant, de le sauvegarder à nouveau, puis de se rendre les paramètres et choisir « Parcourir toutes les versions ». C’est en cliquant sur cette option que le payload XSS se déclenchait. Voici un exemple en vidéo.

Le chercheur en sécurité dit qu’il a signalé la faille à Apple le 7 août dernier. Apple lui a fait un paiement de 5 000 dollars le 9 octobre.