Päevi pärast Google'it paljastab Apple, et brauserimootoris on ära kasutatud nullpäev

Apple on oma Safari jaoks mõeldud WebKiti brauserimootoris parandanud aktiivselt ära kasutatud nullpäevavea.

Viga, määratud kui CVE-2024-23222, tuleneb a tüübi segaduse viga, mis põhimõtteliselt juhtub siis, kui rakendus eeldab ekslikult, et saadud sisend on teatud tüüpi, ilma et see nii oleks või oleks seda valesti kinnitatud.

Aktiivselt ära kasutatud

Apple kirjeldas eile haavatavust kui midagi, mida ründaja võib mõjutatud süsteemides suvalise koodi käivitamiseks ära kasutada. "Apple on teadlik aruandest, et seda probleemi võidi ära kasutada," märgiti ettevõtte nõuandes, pakkumata täiendavaid üksikasju.

Ettevõte on vabastanud uuendatud versioonid iOS-i, iPadOS-i, macOS-i, iPadOS-i ja tvOS-i koos täiendavate valideerimiskontrollidega haavatavuse kõrvaldamiseks.

CVE-2024-23222 on esimene nullpäeva haavatavus, mille Apple 2024. aastal WebKitis avalikustas. Eelmisel aastal avalikustas ettevõte tehnoloogias kokku 11 nullpäeva viga – see on kõigi aegade suurim ühe kalendriaasta jooksul. Alates 2021. aastast on Apple avalikustanud kokku 22 WebKiti nullpäeva viga, mis tõstab esile nii teadlaste kui ka ründajate kasvavat huvi brauseri vastu.

Samal ajal järgneb Apple'i uue WebKiti nullpäeva avalikustamine Google'i eelmisel nädalal null-päev Chrome'is. See on viimaste kuude jooksul vähemalt kolmas kord, mil mõlemad müüjad on oma brauserites üksteise vahetus läheduses avaldanud nullpäevad. Trend viitab sellele, et teadlased ja ründajad otsivad peaaegu võrdselt mõlema tehnoloogia vigu, tõenäoliselt seetõttu, et Chrome ja Safari on ka kõige laialdasemalt kasutatavad brauserid.

Nuhkimisoht

Apple ei ole avalikustanud äsja avalikustatud nullpäeva veale suunatud ärakasutamise olemust. Kuid teadlased on teatanud, et kaubanduslikud nuhkvaramüüjad kuritarvitavad mõnda ettevõtte uuemat tarkvara, et loobuda sihtobjektide iPhone'idest seiretarkvarast.

2023. aasta septembris hoiatas Toronto Ülikooli Citizen Lab Apple'i selle eest kaks klõpsata nullpäeva turvaauku iOS-is, mida jälgimistarkvara müüja kasutas ära Predatori nuhkvaratööriista kukutamiseks iPhone'ile, mis kuulub Washingtonis DC-s asuva organisatsiooni töötajale. Samal kuul teatasid Citizen Labi teadlased ka eraldi nullpäevasest kasutusahelast - mis sisaldas Safari viga -, mille nad avastasid iOS-i seadmetele.

Google on hiljuti mõnel korral märkinud sarnaseid probleeme Chrome'is, peaaegu paralleelselt Apple'iga. Näiteks 2023. aasta septembris, peaaegu samal ajal, kui Apple avalikustas oma nullpäeva vead, tuvastasid Google'i ohuanalüüsi grupi teadlased Intellexa nimelise kaubandusliku tarkvaraettevõtte, kes arendas ärakasutusahelat, mis hõlmas ka Chrome'i nullpäeva (CVE-2023-4762) — Predatori installimiseks Android-seadmetesse. Vaid paar päeva varem oli Google avalikustanud Chrome'is veel ühe nullpäeva (CVE-2023-4863) samas pilditöötlusteekis, kus Apple oli avalikustanud nullpäeva.

Brauseri turvafirma Menlo Security peaturbearhitekt Lionel Litty ütleb, et praegu saadaolevat piiratud teavet arvestades on raske öelda, kas Google'i ja Apple'i 2024. aasta esimeste brauseri nullpäevade vahel on seos. "Chrome'i CVE oli JavaScripti mootoris (v8) ja Safari kasutab teistsugust JavaScripti mootorit," ütleb Litty. "Siiski pole haruldane, et erinevatel rakendustel on väga sarnased vead."

Kui ründajad on ühes brauseris pehme koha leidnud, uurivad nad teadaolevalt ka teisi samas piirkonnas asuvaid brausereid, ütleb Litty. "Seega, kuigi on ebatõenäoline, et see on täpselt sama haavatavus, poleks liiga üllatav, kui kahe looduses toimuva ärakasutamise vahel oleks jagatud DNA."

Plahvatus nulltunni brauseripõhistes andmepüügirünnakutes

Järelevalve müüjad pole kaugeltki ainsad, kes üritavad ära kasutada brauseri turvaauke ja brausereid üldiselt. Menlo Security peagi avaldatava raporti kohaselt kasvas 198. aasta teisel poolel brauseripõhiste andmepüügirünnakute arv 2023% võrreldes aasta esimese kuue kuuga. Vältimisrünnakud – kategooria, mida Menlo kirjeldab kui traditsiooniliste turvakontrollide vältimise tehnikate kasutamist – kasvas 206. aasta teisel poolel veelgi, 30% võrra ja moodustas 2023% kõigist brauseripõhistest rünnakutest.

Menlo sõnul täheldas 30-päevase perioodi jooksul enam kui 11,000 XNUMX nn nulltunnipõhist andmepüügirünnakut, mis väldivad turvalist veebiväravat ja muid lõpp-punkti ohu tuvastamise tööriistu.

"Brauser on ärirakendus, milleta ettevõtted elada ei saa, kuid see on turvalisuse ja hallatavuse vaatenurgast maha jäänud," ütles Menlo tulevases aruandes.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine