Niebezpieczne luki w Apple Safari wykryte podczas testów Dropbox
Podczas testów bezpieczeństwa własnego systemu, przeprowadzanych przez firmę Dropbox, zespół natknął się na luki w przeglądarce Apple Safari. Cały łańcuch exploitów umożliwiał całkowite przejęcie komputera w prosty sposób. Szef ochrony Dropbox, Chris Evans, przedstawił sytuację na firmowym blogu. "Niedawno przeprowadziliśmy symulację ataku jako team red (drużyna atakująca) ale w środowiskach zewnętrznych. Testy penetracyjne doskonale sprawdzają się w wynajdowaniu nieznanych luk w zabezpieczeniach systemów i pokazują, jak w jaki sposób są one podatne na wykorzystanie. Jednak cele testera są zwykle ograniczone tylko do tego. A co z post-exploitation?" - pyta Evans.
Luki w zabezpieczeniach w oprogramowaniu Apple dotyczyły wszystkich użytkowników Safari, którzy używali najnowszej wersji w tym czasie
![Niebezpieczne luki w Apple Safari wykryte podczas testów Dropbox [3]](https://www.purepc.pl/image/news/2018/11/23_niebezpieczne_luki_w_apple_safari_wykryte_podczas_testow_dropbox_2_b.jpg)
Jak sugeruje termin, post-exploitation oznacza fazy działania, gdy atakujący złamał już system ofiary. Podczas takich własnie testów Dropbox i sposobu, w jaki system przechowywania w chmurze zareagował na próby ataku, team red natknął się na szereg luk w oprogramowaniu Apple. W próbach, zespół atakujących był wspierany przez zewnętrzną firmę konsultingową Syndis. Firma, której celem było symulowanie naruszenia bezpieczeństwa, uświadomiła sobie, że nie musiała niczego symulować - Syndis natknął się na luki w oprogramowaniu Apple, które były niczym innym jak zestawem exploitów zero-day. Razem luki pozwoliły napastnikom na wgranie zainfekowanego kodu w systemie ofiary w najprostszy sposób - wystarczyło po prostu odwiedzić złośliwą stronę internetową. "Luki w zabezpieczeniach w oprogramowaniu Apple dotyczyły wszystkich użytkowników Safari, którzy używali najnowszej (10.13.4) wersji w tym czasie" - mówi dyrektor.
CloudMounter: obsługa Dropboxa, OneDrive i Google Drive
![Niebezpieczne luki w Apple Safari wykryte podczas testów Dropbox [4]](https://www.purepc.pl/image/news/2018/11/23_niebezpieczne_luki_w_apple_safari_wykryte_podczas_testow_dropbox_3_b.jpg)
Pierwsza z nich, CVE-2017-13890, umożliwia atakującym używanie Safari w celu automatycznego pobierania i montowania obrazów dysków. Drugi błąd, CVE-2018-4176 uruchamiał bez zgody użytkownika aplikację z obrazu. Oczywiście system Gatekeeper powinien zezwalać na uruchamianie aplikacji podpisanych tylko przez zaufanych programistów. Tutaj pojawia się własnie ostatnia luka w łańcuchu exploitów, CVE-2018-4175. Może ona zostać wykorzystana do zarejestrowania nowych rozszerzeń plików i uruchomienia aplikacji, które są wtedy uważane za bezpieczne, bez angażowania Gatekeepera. Ustalenia zespołu zostały przekazane firmie Apple 19 lutego. Po miesiącu testowania i tworzenia poprawki, firma wdrożyła uaktualnienie 29 marca.
Powiązane publikacje
Meta kontra FTC. Kevin Systrom ujawnia, że Mark Zuckerberg postrzegał Instagram jako zagrożenie dla Facebooka
23
OpenAI rozważa zakup przeglądarki Chrome od Google, co oznacza potencjalną rewolucję w dostępie do sztucznej inteligencji
22
Użytkownicy skarżą się, że ChatGPT zbyt często ich chwali. Czy sztuczna inteligencja przestała mówić prawdę?
44
Facebook traci znaczenie wśród młodszych pokoleń. Wewnętrzne e-maile Meta pokazują rosnące problemy z atrakcyjnością platformy
57
