Safari

در اوایل هفته جاری، تیم Dropbox جزئیات سه آسیب‌پذیری مهم در سیستم‌عامل اپل macOS را منتشر کرد که درمجموع می‌تواند به یک مهاجم از راه دور اجازه دهد تا یک کد موذی را بر روی یک کامپیوتر Mac مورد هدف و تنها با متقاعد کردن یک قربانی به بازدید از یک صفحه وب در مرورگر Safari، اجرا کند.

آسیب‌پذیری‌های گزارش‌شده در ابتدا توسط Syndis کشف شد. Syndis یک شرکت امنیتی سایبری است که با Dropbox قرارداد دارد تا حملات تست نفوذ شبیه‌سازی‌شده را به‌عنوان تیم Red در زیرساخت IT این شرکت انجام دهد. یکی از زیرساخت‌ها نیز شامل نرم‌افزار اپل استفاده‌شده توسط Dropbox می‌شود.

این آسیب‌پذیری‌ها در فوریه ۲۰۱۸ کشف ‌شده و به تیم امنیتی اپل گزارش‌شده است، که پس از انتشار آخرین به‌روزرسانی امنیتی در ماه مارس ۲۰۱۸ یعنی بیش از یک ماه بعد از گزارش شدن آن‌ها، توسط اپل مورد وصله قرار گرفت[۱]. DropBox از اپل برای پاسخ سریعشان به گزارش ارسالی توسط آن‌ها قدردانی کرد.

با توجه به گزارش DropBox، آسیب‌پذیری‌هایی که توسط Syndis کشف شده است، فقط بر سیستم‌عامل‌های macOS تأثیر نمی‌گذارد، بلکه بر روی تمامی کاربران Safari که از آخرین نسخه این مرورگر وب بر روی آخرین نسخه هر سیستم‌عاملی نیز استفاده می‌کنند، تأثیرگذار است.

در اینجا فهرستی از سه آسیب‌پذیری گزارش‌شده آورده شده است:

اولین خطا (CVE-2017-13890) که در کامپوننت CoreTypes از macOS قرار داشت، به مرورگر وب Safari اجازه می‌داد تا به‌طور خودکار یک disk image را بر روی سیستم بازدیدکنندگان از طریق یک صفحه وب موذی بارگیری و mount کند.

نقص دوم (CVE-2018-4176) در روشی قرار داشت که فایل‌های bundle در حقیقت Disk Image ها را مدیریت می‌کردند که در این روش، برنامه‌ها به‌عنوان دایرکتوری بسته‌بندی می‌شدند. بهره‌برداری از این نقص می‌تواند به یک مهاجم اجازه دهد تا یک برنامه موذی را از دیسک mount شده با استفاده از یک ابزار bootable به نام bless اجرا کند.

آسیب‌پذیری سوم (CVE-2018-4175) شامل دور زدن برنامه ضد تروجان Gatekeeper بود که اجازه می‌دهد یک برنامه دست‌کاری شده موذی اجرای امضای کد(۱) را دور بزند و یک نسخه اصلاح‌شده از برنامه ترمینال را اجرا کند، که منجر به اجرای دستورات دلخواه می‌شود.

همان‌طور که در ویدیوی اثبات ادعای این آسیب‌پذیری‌ها نشان داده شده است[۲]، محققان با متقاعد کردن یک قربانی به بازدید از یک صفحه وب موذی در Safari، توانستند با زنجیر کردن(۲) این سه آسیب‌پذیری برای کنترل یک کامپیوتر Mac، یک حمله دو مرحله‌ای ایجاد کنند.

DropBox در پست وبلاگ خود دراین‌باره می‌گوید[۳]: “مرحله اول شامل یک نسخه اصلاح‌شده از برنامه ترمینال است که به‌عنوان یک handler برای یک پسوند فایل جدید (.workingpoc) ثبت شده است. علاوه بر این، شامل یک پوشه خالی به نام test.bundle خواهد بود که به‌عنوان پیش‌فرض openfolder تنظیم می‌شود که به‌طور خودکار می‌تواند /Applications/Terminal.app را بدون اجازه باز کند.”

مرحله دوم شامل shellscript بدون امضا با پسوند .workingpoc است که در داخل برنامه کاربردی ترمینال و بدون اجازه اجرا می‌شود.”

اپل به‌روزرسانی‌های امنیتی را در روز ۲۹ مارس ۲۰۱۸ منتشر کرد که شامل وصله امنیتی این سه آسیب‌پذیری بود. بنابراین، شما فقط باید مطمئن شوید که همه به‌روزرسانی‌های امنیتی ماهانه را به‌طور منظم نصب می‌کنید تا از سیستم‌های خود در مقابل تهدیدات محافظت کنید.

منابع

[۱] https://support.apple.com/en-us/HT208692

[۲] https://youtu.be/RYmZoqt1PfQ

[۳]https://blogs.dropbox.com/tech/2018/11/offensive-testing-to-make-dropbox-and-the-world-a-safer-place

[۴] https://thehackernews.com/2018/11/apple-macos-zeroday.html


(۱) code signing enforcement
(۲) chaining