据报道，iCloud域中的一个存储跨站点脚本（XSS）漏洞已被苹果修补。

Bug bounty hunter和渗透测试人员Vishal Bharad声称已发现该安全漏洞，这是iCloud域中存储的XSS问题icloud.com.

存储的XSS漏洞，也称为到Bharad，XSS缺陷icloud.com在苹果iCloud域的页面/注释记号功能中发现。

为了触发这个错误，攻击者需要使用提交到name字段的XSS负载创建新页面或注释记号内容。

然后需要保存此内容，并将其发送或与其他用户共享。研究人员说，攻击者需要对恶意内容进行一两次更改，再次保存，然后访问“设置”和“浏览器所有版本”。

单击此选项后，XSS负载将触发。Bharad还提供了一个概念验证（PoC）视频来演示该漏洞。

研究人员于2020年8月7日向苹果公司披露了该漏洞。该报告于10月9日被接受，Bharad因其努力获得了5000美元的经济奖励。

诸如HackerOne和Bugcrowd提供的Bug赏金计划，仍然是外部研究人员向技术供应商报告安全问题的常用方法。仅在2020年，谷歌支付臭虫赏金猎人670万美元。

ZDNet已联系苹果公司征求意见，我们将在收到回复后更新。

之前和相关报道

• 开放源代码软件安全漏洞在被检测到之前已经存在超过四年了
  
• FireEye的bug赏金计划公开https://www.zdnet.com/article/remote-code-execution-vulnerability-uncovered-in-starbucks-mobile-platform/“target=”\u blank“>在Starbucks移动平台中发现的远程代码执行漏洞有提示吗？通过WhatsApp |信号+447713 025 499或Keybase:charlie0安全联系

  中国黑客克隆了属于美国国家安全局方程组的攻击工具

  uber drivers in the uk is not self-employeed，court rules

  通过注册，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof