equipe vermelha Offensive Security Dropbox descobriu um conjunto de vulnerabilidades de dia zero (CVE-2017-13890 atribuído mais tarde) no navegador Safari da Apple. A equipe de pesquisa deparei com as falhas ao testar o caminho Dropbox e seu sistema de armazenamento em nuvem respondeu a ciberataques. Mais precisamente, os zero-dia foram descobertos por Syndis, um parceiro de terceiros do Dropbox.
O nosso parceiro de terceiros, Syndis, encontraram vulnerabilidades em software da Apple que usamos no Dropbox, que não afecta apenas a nossa frota MacOS, isso afetou todos os usuários do Safari rodando a versão mais recente no momento-a assim chamada vulnerabilidade zero-day), a empresa explicado.
CVE-2017-13890: Vulnerabilidades zero-day no Safari da Apple Descoberto
Se as vulnerabilidades são encadeados, eles podem permitir que um invasor executar código arbitrário no sistema-alvo apenas enganando a vítima a visitar uma página web maliciosa.
Deve-se notar que a equipe vermelha do Dropbox realizado um ataque simulado com a ajuda de seus parceiros de Syndis. “Identificação de novas maneiras de invadir Dropbox foi no escopo para este compromisso, mas mesmo se foram encontrados nenhuns, nós estávamos indo para simular os efeitos de uma violação por apenas plantio malwares nos (discretamente, claro, de forma a não derrubar fora a equipe de detecção e resposta),” chefe de segurança Chris Evans de Said Dropbox.
Mas a equipe não tinha para simular qualquer coisa depois de tudo, como Syndis veio através de um conjunto de exploráveis falhas zero-day no Safari da Apple. Os MacOS-dias zero de impacto antes de 10.13.4 e permitir que os agentes de ameaça para executar código arbitrário em um sistema vulnerável apenas visitando uma página criada com códigos maliciosos.
Claro, os pesquisadores notificado a Apple dos problemas descobertos, e Apple rapidamente reconheceu seu relatório. Apple lançou correções para os problemas em cerca de um mês, que pode ser considerado um bom trabalho.
As vulnerabilidades foram atribuídos o identificador CVE-2017-13890. Veja como a Apple descreveu:
Disponível para: OS X El Capitan 10.11.6, MacOS Sierra 10.12.6
Impacto: Processamento de uma página web maliciosa pode resultar na montagem de uma imagem de disco
Descrição: Uma questão lógica foi abordado com restrições melhoradas.
A equipe de pesquisa considera a pentest um sucesso para todas as partes interessadas - Dropbox, maçã, e para os usuários on-line em generais. Syndis foi acima e além em encontrar esta façanha cadeia durante nosso noivado, e usá-lo durante o exercício de simulação de ataque permitiu aos pesquisadores testar a prontidão dentro da empresa contra ataques utilizando vulnerabilidades de dia zero. Este é um excelente exemplo da comunidade de segurança cada vez mais forte por causa de bons atores fazendo a coisa certa, Dropbox concluiu.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: