squadra rossa Offensive Security di Dropbox ha scoperto una serie di vulnerabilità zero-day (successivamente assegnato CVE-2.017-13.890) nel browser Safari di Apple. Il gruppo di ricerca si è imbattuto i difetti durante il test il modo in cui Dropbox e il suo sistema di cloud storage risposto a attacchi informatici. Più precisamente, gli zero-day sono stati scoperti da Syndis, un partner di terze parti di Dropbox.
Il nostro partner di terze parti, Syndis, rilevate vulnerabilità nel software Apple che utilizziamo in Dropbox che non hanno solo influito sulla nostra flotta di macOS, ha colpito tutti gli utenti di Safari che eseguivano l'ultima versione in quel momento, una cosiddetta vulnerabilità zero-day), l'azienda ha spiegato.
CVE-2017-13890: Scoperte vulnerabilità zero-day in Safari di Apple
Se le vulnerabilità sono concatenate insieme, possono consentire a un utente malintenzionato di eseguire codice arbitrario sul sistema preso di mira semplicemente inducendo la vittima a visitare una pagina Web dannosa.
Va notato che il team rosso di Dropbox ha effettuato un attacco simulato con l'aiuto dei loro partner di Syndis. “Identificare nuovi modi per entrare in Dropbox era nell'ambito di questo impegno, ma anche se non se ne trovassero, avremmo simulato gli effetti di una violazione semplicemente piantando noi stessi malware (discretamente, naturalmente, per non dare la mancia al team di rilevamento e risposta),” ha affermato il capo della sicurezza di Dropbox Chris Evans.
Ma la squadra non ha dovuto simulare nulla, dopotutto, quando Syndis si è imbattuto in una serie di difetti sfruttabili zero-day in Safari di Apple. Gli zero-day impattavano su macOS prima 10.13.4 e consentire agli autori delle minacce di eseguire codice arbitrario su un sistema vulnerabile semplicemente visitando una pagina pericolosa.
Naturalmente, i ricercatori hanno informato Apple dei problemi scoperti, e Apple hanno rapidamente riconosciuto il loro rapporto. Apple ha rilasciato correzioni per i problemi in circa un mese, che può essere considerato un buon lavoro.
Alle vulnerabilità è stato assegnato l'identificatore CVE-2017-13890. Ecco come li ha descritti Apple:
Disponibile per: OS X El Capitan 10.11.6, Macos Sierra 10.12.6
urto: L'elaborazione di una pagina Web pericolosa può provocare il montaggio di un'immagine disco
Descrizione: Un problema di logica è stato risolto con restrizioni migliorate.
Il team di ricerca considera il pentest un successo per tutte le parti interessate – Dropbox, Mela, e per gli utenti online in generale. Syndis ha fatto di tutto per trovare questa catena di exploit durante il nostro impegno, e l'utilizzo durante l'esercizio di simulazione dell'attacco ha permesso ai ricercatori di testare la prontezza all'interno dell'azienda contro gli attacchi che utilizzano vulnerabilità zero-day. Questo è un eccellente esempio della comunità della sicurezza che diventa più forte grazie a bravi attori che fanno la cosa giusta, Dropbox ha concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: