equipo rojo ofensiva de seguridad de Dropbox ha descubierto un conjunto de vulnerabilidades de día cero (CVE-2.017-13890 tarde asignado) en el navegador Safari de Apple. El equipo de investigación encontró las fallas mientras se prueba la forma en Dropbox y su sistema de almacenamiento en la nube respondieron a los ataques cibernéticos. Más precisamente, los cero días fueron descubiertos por Syndis, un socio externo de Dropbox.
Nuestro socio externo, Syndis, vulnerabilidades encontradas en el software de Apple que utilizan en Dropbox que no sólo afecta a nuestra flota macOS, que afectó a todos los usuarios de Safari que ejecutan la versión más reciente en el momento, un así llamado vulnerabilidad de día cero), la compañia explicado.
CVE-2.017-13890: Las vulnerabilidades de día cero en Safari de Apple Descubierto
Si las vulnerabilidades se encadenan, que pueden permitir a un atacante ejecutar código arbitrario en el sistema de destino acaba por engañar a la víctima para que visite una página web maliciosa.
Cabe señalar que el equipo rojo de Dropbox llevó a cabo un simulacro de ataque con la ayuda de sus socios de Syndis. “La identificación de nuevas maneras de entrar en Dropbox estaba en el alcance de este compromiso, pero incluso si no se encontró ninguno, nos iban a simular los efectos de un incumplimiento por el malware simplemente plantar nosotros mismos (discretamente, por supuesto, para que no se incline fuera del equipo de detección y la respuesta),” dijo el jefe de seguridad Chris Evans de Dropbox.
Pero el equipo no tuvo que simular nada, después de todo, como Syndis se encontró con un conjunto de fallas explotables de día cero en Safari de Apple. El impacto cero días antes macOS 10.13.4 y permitir a los actores de amenaza para ejecutar código arbitrario en un sistema vulnerable con sólo visitar una página malintencionada.
Por supuesto, los investigadores notificados de Apple de los problemas detectados, y Apple reconoció rápidamente su informe. Apple lanzó correcciones para los problemas en aproximadamente un mes, que se puede considerar un buen trabajo.
Las vulnerabilidades fueron asignados el identificador CVE-2017-13.890. Así es como los describió de Apple:
Disponible para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impacto: Procesamiento de una página web con fines malintencionados puede resultar en el montaje de una imagen de disco
Descripción: Una cuestión se abordó la lógica con la mejora de las restricciones.
El equipo de investigación considera que la prueba de intrusión un éxito para todas las partes interesadas - Dropbox, Manzana, y para los usuarios en línea de los generales. Syndis se volcó en la búsqueda de esta hazaña cadena durante nuestro compromiso, y su uso durante el ejercicio de simulación de ataque permitió a los investigadores para probar la disposición dentro de la empresa contra los ataques utilizando las vulnerabilidades de día cero. Este es un excelente ejemplo de la comunidad de seguridad cada vez más fuerte debido a los buenos actores haciendo lo correcto, Dropbox concluyó.