Dropbox Offensive Security hat rot-Team eine Reihe von Zero-Day-Schwachstellen entdeckt (später zugewiesen CVE-2017-13890) in Safari-Browser von Apple. Das Forschungsteam kam die Mängel auf, während die Art und Weise zu testen Dropbox und sein Cloud-Storage-System zu Cyber-Attacken reagiert. Etwas präziser, die Null-Tage wurden von Syndis entdeckt, ein Drittanbieter-Partner von Dropbox.
Unsere Drittanbieter-Partner, Syndis, gefunden Schwachstellen in Apple-Software, die wir bei Dropbox verwenden, die nicht nur unsere macOS Flotte beeinflußte, es betraf alle Safari-Benutzer die neueste Version auf der Zeit eine sogenannte Zero-Day-Schwachstelle läuft), das Unternehmen erklärt.
CVE-2.017-13.890: Zero-Day-Schwachstellen in Apples Safari entdeckt
Wenn die Schwachstellen aneinander gekettet, sie kann einen Angreifer ermöglichen, beliebigen Code auf dem Zielsystem ausgeführt werden nur durch das Opfer in trickst eine bösartige Webseite besuchen.
Es sei darauf hingewiesen, dass Dropbox rotes Team einen simulierten Angriff mit Hilfe ihrer Partner aus Syndis durchgeführt. “Identifizierung neuer Wege in Dropbox zu brechen war in Rahmen für dieses Engagement, aber selbst wenn keine gefunden wurden, wir würden die Auswirkungen einer Verletzung zu simulieren, indem nur sie selbst zu pflanzen Malware (diskret, Natürlich, um nicht die Erkennung und Reaktion Team zur Spitze ab),” sagte Dropbox Sicherheitschef Chris Evans.
Aber das Team musste nicht alles simulieren, nachdem alle, wie Syndis stieß auf eine Reihe von verwertbaren Zero-Day-Schwachstellen in Apples Safari. Die Null-Tage Auswirkungen macOS vor 10.13.4 und erlauben Bedrohung Akteure beliebigen Code auf einem anfälligen System laufen nur durch eine in böswilliger Absicht erstellten Seite besuchen.
Natürlich, die Forscher mitgeteilt Apple-der entdeckten Probleme, und Apple anerkannt schnell ihren Bericht. Apple veröffentlicht Updates für die Ausgaben in etwa einem Monat, die einen guten Job in Betracht gezogen werden kann.
Die Schwachstellen wurden die CVE-2.017-13.890 Kennung zugewiesen. Hier ist, wie Apple sie beschrieben:
Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Auswirkung: eine in böser Absicht erstellte Webseite Die Verarbeitung kann bei der Montage eines Disk-Image führen
Beschreibung: Eine logische Frage wurde mit verbesserten Einschränkungen angesprochen.
Das Forschungsteam sieht in der Pentest einen Erfolg für alle Beteiligten - Dropbox, Apfel, und für Online-Nutzer in Generälen. Syndis ging darüber hinaus bei der Suche nach dieser Kette während unseres Engagements ausnutzen, und dessen Verwendung während des Angriffs Simulationsübung konnten die Forscher die Bereitschaft im Unternehmen gegen Angriffe zu testen, mit Zero-Day-Schwachstellen. Dies ist ein hervorragendes Beispiel für die Sicherheitsgemeinschaft wegen der guten Akteure stärker wird das Richtige zu tun, Dropbox abgeschlossen.