Η Apple έχει επιδιορθώσει ένα σφάλμα zero-day που χρησιμοποιήθηκε ενεργά στη μηχανή του προγράμματος περιήγησης WebKit για το Safari.
Το σφάλμα, εκχωρήθηκε ως CVE-2024-23222, πηγάζει από α σφάλμα σύγχυσης τύπου, το οποίο βασικά συμβαίνει όταν μια εφαρμογή υποθέτει εσφαλμένα ότι η είσοδος που λαμβάνει είναι συγκεκριμένου τύπου χωρίς να επικυρώνει πραγματικά —ή να επικυρώνει εσφαλμένα— αυτό να συμβαίνει.
Ενεργή εκμετάλλευση
Η Apple περιέγραψε χθες την ευπάθεια ως κάτι που ένας εισβολέας θα μπορούσε να εκμεταλλευτεί για να εκτελέσει αυθαίρετο κώδικα σε συστήματα που επηρεάζονται. «Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης», σημείωσε η συμβουλευτική εταιρεία της εταιρείας, χωρίς να δώσει περισσότερες λεπτομέρειες.
Η εταιρεία έχει κυκλοφορήσει ενημερωμένες εκδόσεις iOS, iPadOS, macOS, iPadOS και tvOS με πρόσθετους ελέγχους επικύρωσης για την αντιμετώπιση της ευπάθειας.
Το CVE-2024-23222 είναι η πρώτη ευπάθεια μηδενικής ημέρας που αποκάλυψε η Apple στο WebKit το 2024. Πέρυσι, η εταιρεία αποκάλυψε συνολικά 11 σφάλματα zero-day στην τεχνολογία — τα περισσότερα σε ένα μόνο ημερολογιακό έτος. Από το 2021, η Apple έχει αποκαλύψει συνολικά 22 σφάλματα WebKit zero-day, υπογραμμίζοντας το αυξανόμενο ενδιαφέρον για το πρόγραμμα περιήγησης τόσο από ερευνητές όσο και από εισβολείς.
Παράλληλα, η αποκάλυψη από την Apple του νέου WebKit zero-day ακολουθεί την αποκάλυψη της Google την περασμένη εβδομάδα ενός zero-day στο Chrome. Είναι τουλάχιστον η τρίτη φορά τους τελευταίους μήνες όπου και οι δύο προμηθευτές αποκαλύπτουν μηδενικές ημέρες στα αντίστοιχα προγράμματα περιήγησής τους σε κοντινή απόσταση μεταξύ τους. Η τάση υποδηλώνει ότι ερευνητές και εισβολείς διερευνούν σχεδόν εξίσου ελαττώματα και στις δύο τεχνολογίες, πιθανότατα επειδή το Chrome και το Safari είναι επίσης τα πιο ευρέως χρησιμοποιούμενα προγράμματα περιήγησης.
Η απειλή της κατασκοπείας
Η Apple δεν έχει αποκαλύψει τη φύση της δραστηριότητας εκμετάλλευσης που στοχεύει το νέο σφάλμα zero-day που αποκαλύφθηκε πρόσφατα. Ωστόσο, οι ερευνητές ανέφεραν ότι είδαν εμπορικούς πωλητές spyware να κάνουν κατάχρηση ορισμένων από τα πιο πρόσφατα της εταιρείας, για να εγκαταλείψουν το λογισμικό παρακολούθησης σε iPhone στοχευόμενων θεμάτων.
Τον Σεπτέμβριο του 2023, το Citizen Lab του Πανεπιστημίου του Τορόντο προειδοποίησε την Apple σχετικά δύο τρωτά σημεία zero-day χωρίς κλικ στο iOS που ένας προμηθευτής λογισμικού παρακολούθησης είχε εκμεταλλευτεί για να απορρίψει το εργαλείο spyware Predator σε ένα iPhone που ανήκε σε έναν υπάλληλο σε οργανισμό με έδρα την Ουάσινγκτον, DC. Τον ίδιο μήνα, οι ερευνητές του Citizen Lab ανέφεραν επίσης μια ξεχωριστή αλυσίδα εκμετάλλευσης μηδενικής ημέρας - η οποία περιελάμβανε ένα σφάλμα Safari - που είχαν ανακαλύψει ότι στόχευαν συσκευές iOS.
Η Google έχει επισημάνει παρόμοιες ανησυχίες στο Chrome, σχεδόν παράλληλα με την Apple, σε μερικές περιπτώσεις πρόσφατα. Για παράδειγμα, τον Σεπτέμβριο του 2023, σχεδόν την ίδια στιγμή που η Apple αποκάλυψε τα σφάλματα zero-day, ερευνητές από την ομάδα ανάλυσης απειλών της Google εντόπισαν μια εμπορική εταιρεία λογισμικού που ονομάζεται Intellexa ως αναπτυσσόμενη αλυσίδα εκμετάλλευσης — η οποία περιλάμβανε ένα Chrome zero-day.CVE-2023-4762) — για να εγκαταστήσετε το Predator σε συσκευές Android. Μόλις λίγες μέρες νωρίτερα, η Google είχε αποκαλύψει άλλη μια μηδενική ημέρα στο Chrome (CVE-2023-4863) στην ίδια βιβλιοθήκη επεξεργασίας εικόνας στην οποία η Apple είχε αποκαλύψει την ημέρα μηδέν.
Ο Lionel Litty, επικεφαλής αρχιτέκτονας ασφαλείας στην εταιρεία ασφαλείας προγράμματος περιήγησης Menlo Security, λέει ότι είναι δύσκολο να πούμε εάν υπάρχει σύνδεση μεταξύ της Google και του πρώτου προγράμματος περιήγησης μηδέν ημερών της Apple για το 2024, δεδομένων των περιορισμένων πληροφοριών που είναι διαθέσιμες αυτήν τη στιγμή. "Το Chrome CVE ήταν στη μηχανή JavaScript (v8) και το Safari χρησιμοποιεί διαφορετική μηχανή JavaScript", λέει ο Litty. "Ωστόσο, δεν είναι ασυνήθιστο για διαφορετικές υλοποιήσεις να έχουν πολύ παρόμοια ελαττώματα."
Μόλις οι εισβολείς βρουν ένα μαλακό σημείο σε ένα πρόγραμμα περιήγησης, είναι επίσης γνωστό ότι διερευνούν άλλα προγράμματα περιήγησης στην ίδια περιοχή, λέει ο Litty. «Έτσι, ενώ είναι απίθανο να πρόκειται για την ίδια ακριβώς ευπάθεια, δεν θα ήταν πολύ περίεργο αν υπήρχε κάποιο κοινό DNA μεταξύ των δύο in-the-wild exploits».
Έκρηξη σε επιθέσεις phishing που βασίζονται σε πρόγραμμα περιήγησης μηδενικής ώρας
Οι προμηθευτές επιτήρησης δεν είναι, μακράν, οι μόνοι που προσπαθούν να εκμεταλλευτούν τα τρωτά σημεία του προγράμματος περιήγησης και τα προγράμματα περιήγησης γενικά. Σύμφωνα με μια έκθεση της Menlo Security που θα δημοσιοποιηθεί σύντομα, σημειώθηκε αύξηση 198% στις επιθέσεις phishing που βασίζονται σε προγράμματα περιήγησης το δεύτερο εξάμηνο του 2023 σε σύγκριση με τους πρώτους έξι μήνες του έτους. Οι επιθέσεις αποφυγής - μια κατηγορία που ο Menlo περιγράφει ότι χρησιμοποιεί τεχνικές για την αποφυγή των παραδοσιακών ελέγχων ασφαλείας - αυξήθηκαν ακόμη περισσότερο, κατά 206% και αντιπροσώπευαν το 30% όλων των επιθέσεων που βασίζονται σε προγράμματα περιήγησης το δεύτερο εξάμηνο του 2023.
Σε μια περίοδο 30 ημερών, η Menlo λέει ότι παρατήρησε ότι περισσότερες από 11,000 επιθέσεις phishing που βασίζονται σε πρόγραμμα περιήγησης που αποκαλούνται «μηδενικής ώρας» αποφεύγουν το Secure Web Gateway και άλλα εργαλεία ανίχνευσης απειλών τελικού σημείου.
«Το πρόγραμμα περιήγησης είναι η επιχειρηματική εφαρμογή χωρίς την οποία οι επιχειρήσεις δεν μπορούν να ζήσουν, αλλά έχει μείνει πίσω από την άποψη της ασφάλειας και της διαχειρισιμότητας», δήλωσε ο Menlo στην επερχόμενη έκθεση.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :έχει
- :είναι
- :δεν
- :που
- 000
- 11
- 2021
- 2023
- 2024
- 22
- a
- Σχετικά
- κατάχρηση
- Σύμφωνα με
- λογιστικοποιήθηκε
- δραστήρια
- δραστηριότητα
- πραγματικά
- Πρόσθετος
- διεύθυνση
- συμβουλευτικός
- επηρεαστούν
- Μετά το
- Όλα
- σχεδόν
- Επίσης
- an
- ανάλυση
- και
- android
- Άλλος
- κάθε
- Apple
- Εφαρμογή
- ΕΙΝΑΙ
- ΠΕΡΙΟΧΗ
- AS
- ανατεθεί
- υποθέτει
- At
- Επιθέσεις
- διαθέσιμος
- επίγνωση
- Βασικα
- BE
- επειδή
- ήταν
- πίσω
- ανήκουν
- μεταξύ
- και οι δύο
- πρόγραμμα περιήγησης
- browsers
- Έντομο
- σφάλματα
- επιχείρηση
- αλλά
- by
- Ημερολόγιο εκδηλώσεων
- που ονομάζεται
- CAN
- περίπτωση
- κατηγορία
- ορισμένες
- αλυσίδα
- έλεγχοι
- αρχηγός
- Chrome
- πολίτης
- Κλεισιμο
- κωδικός
- εμπορικός
- εταίρα
- σύγκριση
- Πιθανά ερωτήματα
- σύγχυση
- σύνδεση
- ελέγχους
- θα μπορούσε να
- Τη στιγμή
- CVE
- Ημ.
- περιγράφεται
- περιγράφει
- καθέκαστα
- Ανίχνευση
- ανάπτυξη
- Συσκευές
- διαφορετικές
- αποκάλυψη
- ανακάλυψαν
- Η κ
- Πτώση
- κάθε
- Νωρίτερα
- Υπάλληλος
- Τελικό σημείο
- Κινητήρας
- επιχειρήσεις
- εξίσου
- Αιθέρας (ΕΤΗ)
- διαφυγής
- Even
- ΠΑΝΤΑ
- εκτελέσει
- Εκμεταλλεύομαι
- Κακοποιημένα
- εκμεταλλεύεται
- Πεσμένος
- μακριά
- λίγοι
- Εταιρεία
- Όνομα
- σημαία
- ελαττώματα
- εξής
- Για
- Βρέθηκαν
- από
- περαιτέρω
- πύλη
- General
- δεδομένου
- Group
- Μεγαλώνοντας
- αυξανόμενο ενδιαφέρον
- είχε
- Ήμισυ
- συμβαίνει
- Σκληρά
- Έχω
- υψηλότερο
- επισήμανση
- Ωστόσο
- HTML
- HTTPS
- προσδιορίζονται
- if
- εικόνα
- υλοποιήσεις
- in
- περιλαμβάνονται
- εσφαλμένα
- Αυξάνουν
- πληροφορίες
- εισαγωγή
- εγκαθιστώ
- παράδειγμα
- τόκος
- iOS
- iPadOS
- iPhone
- ζήτημα
- IT
- ΤΟΥ
- το JavaScript
- jpg
- μόλις
- γνωστός
- εργαστήριο
- Επίθετο
- Πέρυσι
- ελάχιστα
- Βιβλιοθήκη
- Πιθανός
- Περιωρισμένος
- ζω
- MacOS
- Ενδέχεται..
- Μήνας
- μήνες
- περισσότερο
- πλέον
- Φύση
- Κοντά
- Νέα
- πρόσφατα
- nist
- Σημειώνεται
- παρατηρούμενη
- περιπτώσεις
- of
- προσφορά
- on
- ONE
- αυτά
- αποκλειστικά
- or
- επιχειρήσεις
- ΑΛΛΑ
- Παράλληλο
- περίοδος
- προοπτική
- Phishing
- επιθέσεις ηλεκτρονικού ψαρέματος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- αρπακτικό
- καθετήρας
- μεταποίηση
- λαμβάνει
- πρόσφατος
- πρόσφατα
- κυκλοφόρησε
- αναφέρουν
- αναφέρθηκαν
- ερευνητές
- εκείνοι
- Αποκαλύπτει
- s
- Safari
- Είπε
- ίδιο
- λένε
- λέει
- Δεύτερος
- προστατευμένο περιβάλλον
- ασφάλεια
- βλέποντας
- ξεχωριστό
- Σεπτέμβριος
- Shared
- παρόμοιες
- αφού
- ενιαίας
- ΕΞΙ
- Έξι μήνες
- So
- Μαλακός
- λογισμικό
- μερικοί
- κάτι
- Spot
- κατασκοπεία
- spyware
- στελέχη
- Προτείνει
- αυξήθηκαν
- εκπληκτικός
- επιτήρηση
- συστήματα
- T
- Tandem
- στόχος
- στόχευση
- τεχνικές
- Τεχνολογίες
- Τεχνολογία
- από
- ότι
- Η
- τους
- Εκεί.
- αυτοί
- Τρίτος
- αυτό
- απειλή
- ανίχνευσης απειλών
- ώρα
- προς την
- πολύ
- εργαλείο
- εργαλεία
- Τορόντο
- Σύνολο
- παραδοσιακός
- τάση
- προσπαθώντας
- δύο
- τύπος
- Ασυνήθης
- πανεπιστήμιο
- απίθανος
- ανερχόμενος
- μεταχειρισμένος
- χρησιμοποιεί
- χρησιμοποιώντας
- επικύρωση
- επικύρωση
- πάροχος υπηρεσιών
- πωλητές
- πολύ
- Θέματα ευπάθειας
- ευπάθεια
- προειδοποίησε
- ήταν
- Ουάσιγκτον
- ιστός
- κιτ ιστού
- εβδομάδα
- Τι
- πότε
- Ποιό
- ενώ
- ευρέως
- με
- χωρίς
- θα ήθελα
- έτος
- χτες
- zephyrnet
- σφάλμα μηδενικής ημέρας