Tage nach Google enthüllt Apple ausgenutzten Zero-Day in der Browser-Engine

Apple hat einen aktiv ausgenutzten Zero-Day-Fehler in seiner WebKit-Browser-Engine für Safari behoben.

Der Fehler, zugewiesen als CVE-2024-23222, stammt von a Typverwechslungsfehler, was im Grunde passiert, wenn eine Anwendung fälschlicherweise annimmt, dass die empfangene Eingabe von einem bestimmten Typ ist, ohne dies tatsächlich zu validieren – oder falsch zu validieren.

Aktiv genutzt

Apple beschrieb gestern die Sicherheitslücke als etwas, das ein Angreifer ausnutzen könnte, um beliebigen Code auf betroffenen Systemen auszuführen. „Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise ausgenutzt wurde“, heißt es in der Unternehmensberatung, ohne weitere Einzelheiten zu nennen.

Das Unternehmen hat freigegeben aktualisierte Versionen von iOS, iPadOS, macOS, iPadOS und tvOS mit zusätzlichen Validierungsprüfungen zur Behebung der Schwachstelle.

CVE-2024-23222 ist die erste Zero-Day-Schwachstelle, die Apple im Jahr 2024 in WebKit offengelegt hat. Letztes Jahr hat das Unternehmen insgesamt 11 Zero-Day-Fehler in der Technologie offengelegt – so viele wie nie zuvor in einem einzigen Kalenderjahr. Seit 2021 hat Apple insgesamt 22 WebKit-Zero-Day-Bugs offengelegt, was das wachsende Interesse sowohl von Forschern als auch von Angreifern an dem Browser unterstreicht.

Parallel dazu folgt die Offenlegung des neuen WebKit Zero-Day durch Apple auf die Offenlegung von Google in der vergangenen Woche Zero-Day in Chrome. Es ist mindestens das dritte Mal in den letzten Monaten, dass beide Anbieter Zero-Days in ihren jeweiligen Browsern in unmittelbarer Nähe zueinander offengelegt haben. Der Trend deutet darauf hin, dass Forscher und Angreifer fast gleichermaßen nach Schwachstellen in beiden Technologien suchen, was wahrscheinlich darauf zurückzuführen ist, dass Chrome und Safari auch die am häufigsten verwendeten Browser sind.

Die Spionagegefahr

Apple hat die Art der Exploit-Aktivität, die auf den neu aufgedeckten Zero-Day-Bug abzielt, nicht bekannt gegeben. Forscher haben jedoch berichtet, dass kommerzielle Spyware-Anbieter einige der neueren Programme des Unternehmens missbrauchen, um Überwachungssoftware auf iPhones von Zielpersonen zu installieren.

Im September 2023 warnte das Citizen Lab der Universität Toronto Apple davor zwei No-Click-Zero-Day-Schwachstellen in iOS, den ein Anbieter von Überwachungssoftware ausgenutzt hatte, um das Predator-Spyware-Tool auf einem iPhone eines Mitarbeiters einer in Washington, DC ansässigen Organisation zu installieren. Im selben Monat berichteten Citizen Lab-Forscher auch über eine separate Zero-Day-Exploit-Kette – die einen Safari-Fehler beinhaltete –, die sie entdeckt hatten und die auf iOS-Geräte abzielte.

Google hat in letzter Zeit bei einigen Gelegenheiten ähnliche Bedenken in Chrome geäußert, fast parallel zu Apple. Im September 2023 beispielsweise, fast zur gleichen Zeit, als Apple seine Zero-Day-Bugs offenlegte, identifizierten Forscher der Bedrohungsanalysegruppe von Google ein kommerzielles Softwareunternehmen namens Intellexa, das eine Exploit-Kette entwickelte – zu der auch ein Chrome Zero-Day gehörte (CVE-2023-4762) – um Predator auf Android-Geräten zu installieren. Nur wenige Tage zuvor hatte Google einen weiteren Zero-Day in Chrome bekannt gegeben (CVE-2023-4863) in derselben Bildverarbeitungsbibliothek, in der Apple einen Zero-Day veröffentlicht hatte.

Lionel Litty, Chef-Sicherheitsarchitekt beim Browser-Sicherheitsunternehmen Menlo Security, sagt, es sei angesichts der begrenzten derzeit verfügbaren Informationen schwer zu sagen, ob es einen Zusammenhang zwischen Google und Apples ersten Browser-Zero-Days für 2024 gebe. „Das Chrome CVE befand sich in der JavaScript-Engine (v8) und Safari verwendet eine andere JavaScript-Engine“, sagt Litty. „Allerdings ist es nicht ungewöhnlich, dass verschiedene Implementierungen sehr ähnliche Mängel aufweisen.“

Sobald Angreifer eine Schwachstelle in einem Browser entdeckt haben, ist es bekannt, dass sie auch andere Browser im selben Bereich ausspionieren, sagt Litty. „Obwohl es unwahrscheinlich ist, dass es sich hierbei genau um dieselbe Schwachstelle handelt, wäre es nicht allzu überraschend, wenn es eine gemeinsame DNA zwischen den beiden Exploits in freier Wildbahn gäbe.“

Explosion von Browser-basierten Phishing-Angriffen innerhalb einer Stunde

Überwachungsanbieter sind bei weitem nicht die einzigen, die versuchen, Browser-Schwachstellen und Browser im Allgemeinen auszunutzen. Laut einem demnächst veröffentlichten Bericht von Menlo Security gab es im zweiten Halbjahr 198 im Vergleich zu den ersten sechs Monaten des Jahres einen Anstieg browserbasierter Phishing-Angriffe um 2023 %. Evasive Angriffe – eine Kategorie, die Menlo als die Verwendung von Techniken zur Umgehung traditioneller Sicherheitskontrollen beschreibt – stiegen sogar noch stärker an, und zwar um 206 % und machten in der zweiten Hälfte des Jahres 30 2023 % aller browserbasierten Angriffe aus.

Über einen Zeitraum von 30 Tagen beobachtete Menlo nach eigenen Angaben mehr als 11,000 sogenannte „Zero-Hour“-Browser-basierte Phishing-Angriffe, die Secure Web Gateway und andere Tools zur Endpunkt-Bedrohungserkennung umgehen konnten.

„Der Browser ist die Geschäftsanwendung, ohne die Unternehmen nicht leben können, aber er ist in puncto Sicherheit und Verwaltbarkeit ins Hintertreffen geraten“, sagte Menlo im kommenden Bericht.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine