Accueil > Nouvelles Cyber > Dropbox Red Team Discovered CVE-2017-13890 Zero-Day in Apple’s Safari
CYBER NOUVELLES

Dropbox Red Team Découverte CVE-2017-13890 Zero-Day dans Safari d'Apple

Offensive équipe rouge de sécurité de Dropbox a découvert une série de vulnérabilités zero-day (Affectée par la suite CVE-2017-13890) dans le navigateur Safari d'Apple. L'équipe de recherche est tombé sur les défauts tout en testant la façon dont Dropbox et son système de stockage en nuage ont répondu aux cyberattaques. Plus précisément, les ont été découverts zéro jours par Syndis, un partenaire tiers de Dropbox.

Notre partenaire tiers, Syndis, vulnérabilités trouvées dans les logiciels d'Apple que nous utilisons à Dropbox qui ne concerne pas seulement notre flotte macOS, il a touché tous les utilisateurs de Safari exécutant la dernière version à l'époque, un soi-disant vulnérabilité zero-day), l'entreprise expliqué.

en relation: [wplinkpreview url =”https://sensorstechforum.com/5-macos-vulnerabilities-shouldnt-overlooked/”]5 macos vulnérabilités qui ne devraient pas négliger

CVE-2017-13890: Vulnérabilités zero-day dans Safari d'Apple Découvert

Si les vulnérabilités sont enchaînées, ils peuvent permettre à un attaquant d'exécuter du code arbitraire sur le système cible tout en incitant la victime à visiter une page web malicieuse.

Il convient de noter que l'équipe rouge de Dropbox a effectué une attaque simulée avec l'aide de leurs partenaires de Syndis. “L'identification de nouvelles façons de percer dans Dropbox était portée pour cet engagement, mais même si aucun n'a été trouvé, nous allons simuler les effets d'une violation par simplement la plantation nous les logiciels malveillants (discrètement, bien sûr, afin de ne pas basculer de la détection et l'équipe d'intervention),” dit la tête de Dropbox de sécurité Chris Evans.

Mais l'équipe n'a pas eu à simuler quoi que ce soit après tout, comme Syndis est tombé sur un ensemble de défauts exploitables zero-day dans Safari d'Apple. L'impact zéro jours avant macOS 10.13.4 et permettre aux acteurs de la menace d'exécuter du code arbitraire sur un système vulnérable juste en visitant une page construite de manière malveillante.

Bien sûr, les chercheurs avisés d'Apple des problèmes découverts, et Apple a reconnu rapidement son rapport. Apple a publié des correctifs pour les problèmes dans environ un mois, qui peut être considéré comme un bon travail.

Les vulnérabilités ont été affectés de l'identifiant CVE-2017-13890. Voici comment Apple décrit les:

Disponible pour: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: Le traitement d'une page Web construite de manière malveillante peut entraîner le montage d'une image disque
Description: Un problème de logique a été traitée avec des restrictions améliorées.

en relation: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-4277-apple-idn-homograph-attack/”]CVE-2018-4277: Vulnérabilité Apple Permet de homographes attaque IDN

L'équipe de recherche estime que le pentest un succès pour toutes les parties intéressées - Dropbox, Pomme, et pour les utilisateurs en ligne dans généraux. Syndis est allé au-delà pour trouver cet exploit au cours de notre engagement chaîne, et l'utiliser lors de l'exercice de simulation d'attaque a permis aux chercheurs de tester l'état de préparation au sein de l'entreprise contre les attaques en utilisant des vulnérabilités zero-day. Ceci est un excellent exemple de la communauté de plus en plus forte sécurité en raison des bons acteurs faire la bonne chose, Dropbox a conclu.

Milena Dimitrova

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...