Dropbox offensief Veiligheid rode team heeft een reeks zero-day kwetsbaarheden ontdekt (later toegewezen CVE-2017-13.890) in Apple's Safari-browser. Het onderzoeksteam kwam over de fouten tijdens het testen van de manier waarop Dropbox en de cloud storage systeem gereageerd op cyberaanvallen. Preciezer, de zero-dagen werden ontdekt door Syndis, een derde partner van Dropbox.
Onze externe partner, Syndis, gevonden kwetsbaarheden in software van Apple gebruiken we bij Dropbox, dat niet alleen invloed had onze MacOS vloot, het allemaal Safari-gebruikers de nieuwste versie op de getroffen tijd een zogenaamde zero-day kwetsbaarheid), het bedrijf toegelicht.
CVE-2017-13.890: Zero-day kwetsbaarheden in Apple's Safari ontdekt
Als de kwetsbaarheden worden geketend samen, ze kan een aanvaller in staat om willekeurige code op het beoogde systeem te draaien gewoon door tricking het slachtoffer in het bezoeken van een kwaadaardige webpagina.
Opgemerkt dient te worden dat de rode team Dropbox is een gesimuleerde aanval uitgevoerd met de hulp van hun partners uit Syndis. “Het identificeren van nieuwe manieren om in te breken in Dropbox was ruimte voor deze opdracht, maar zelfs als er werden er geen gevonden, we gingen naar de effecten van een inbreuk te simuleren door gewoon het planten onszelf malware (discreet, natuurlijk, om niet af tip de detectie en reactieteam),” zei Dropbox hoofd van de veiligheid Chris Evans.
Maar het team heeft niets te simuleren immers, als Syndis kwam een set van exploiteerbare zero-day fouten in Apple's Safari. De zero-dagen effect MacOS vóór 10.13.4 en laat bedreiging actoren om willekeurige code op een kwetsbaar systeem beheerd door een bezoek aan een kwaadwillig vervaardigde pagina.
Natuurlijk, de onderzoekers gemeld Apple van de ontdekte problemen, en Apple snel erkenden hun verslag. Apple bracht correcties voor de problemen in ongeveer een maand, die kan worden beschouwd als een goede baan.
De kwetsbaarheden CVE-2017-13890 identificator toegekend. Hier is hoe Apple beschreef hen:
Beschikbaar voor: OS X El Capitan 10.11.6, MacOS Sierra 10.12.6
botsing: Het verwerken van een kwaadwillig vervaardigde webpagina kan leiden tot het monteren van een schijfkopie
Beschrijving: Een logische probleem is verholpen met een verbeterde beperkingen.
Het onderzoeksteam van mening dat de PenTest een succes voor alle betrokken partijen - Dropbox, Apple, en voor de online gebruikers in generaals. Syndis deden hun uiterste best in het vinden van deze exploit keten tijdens onze verloving, en het gebruik ervan tijdens de aanval simulatie-oefening konden de onderzoekers de bereidheid binnen het bedrijf tegen aanvallen testen met behulp van zero-day kwetsbaarheden. Dit is een uitstekend voorbeeld van de security gemeenschap steeds sterker als gevolg van goede acteurs de juiste dingen doen, Dropbox gesloten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: