Dropboxのオフェンシブセキュリティレッドチームは、ゼロデイ脆弱性のセットを発見しました (後で割り当てられたCVE-2017-13890) AppleのSafariブラウザで. 調査チームは、Dropboxとそのクラウドストレージシステムがサイバー攻撃に対応する方法をテストしているときに、欠陥に遭遇しました。. より正確に, ゼロデイはSyndisによって発見されました, Dropboxのサードパーティパートナー.
サードパーティのパートナー, Syndis, Dropboxで使用しているAppleソフトウェアに、macOSフリートだけに影響を与えない脆弱性が見つかりました, これは、その時点で最新バージョンを実行しているすべてのSafariユーザーに影響を及ぼしました。いわゆるゼロデイ脆弱性です。), 会社 説明.
CVE-2017-13890: AppleのSafariでゼロデイ脆弱性が発見されました
脆弱性が連鎖している場合, 攻撃者をだまして悪意のあるWebページにアクセスさせるだけで、攻撃者が標的のシステム上で任意のコードを実行できるようにすることができます。.
Dropboxのレッドチームは、Syndisのパートナーの助けを借りてシミュレートされた攻撃を実行したことに注意してください。. “Dropboxに侵入する新しい方法を特定することは、この取り組みの範囲内でした, しかし、何も見つからなかったとしても, マルウェアを自分たちで植えるだけで、侵害の影響をシミュレートするつもりでした (個別に, もちろん, 検出および対応チームを倒さないように),” ドロップボックスのセキュリティ責任者、クリス・エヴァンスは言った.
しかし、チームは結局何もシミュレートする必要はありませんでした, SyndisがAppleのSafariで悪用可能なゼロデイ欠陥のセットに遭遇したとき. 以前のゼロデイ影響macOS 10.13.4 悪意を持って作成されたページにアクセスするだけで、攻撃者が脆弱なシステム上で任意のコードを実行できるようにします.
もちろん, 研究者たちは、発見された問題についてAppleに通知しました, そしてAppleはすぐに彼らの報告を認めた. Appleは約1か月で問題の修正をリリースしました, これは良い仕事と見なすことができます.
脆弱性にはCVE-2017-13890識別子が割り当てられました. これがAppleがそれらをどのように説明したかです:
以下のために利用可能: OSXエルキャピタン 10.11.6, macOSSierra 10.12.6
影響: 悪意を持って作成されたWebページを処理すると、ディスクイメージがマウントされる可能性があります
説明: ロジックの問題は、制限を改善して対処されました.
調査チームは、ペネトレーションテストをすべての利害関係者にとって成功と見なしています– Dropbox, アップル, と一般的なオンラインユーザーのために. Syndisは、エンゲージメント中にこのエクスプロイトチェーンを見つける上でさらに上を行きました, 攻撃シミュレーションの演習中にこれを使用することで、研究者はゼロデイ脆弱性を使用した攻撃に対する社内の準備状況をテストできました。. これは、優れたアクターが正しいことをしているためにセキュリティコミュニティが強くなっている優れた例です。, Dropboxは結論を出しました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: