Apple ने Safari के लिए अपने WebKit ब्राउज़र इंजन में सक्रिय रूप से उपयोग किए गए शून्य-दिन बग को पैच कर दिया है।
बग, के रूप में असाइन किया गया CVE-2024-23222, ए से उपजा है टाइप कन्फ्यूजन त्रुटि, जो मूल रूप से तब होता है जब कोई एप्लिकेशन गलत तरीके से मान लेता है कि उसे प्राप्त इनपुट वास्तव में सत्यापित किए बिना एक निश्चित प्रकार का है - या गलत तरीके से मान्य है - यही स्थिति है।
सक्रिय रूप से शोषण किया गया
Apple ने कल इस भेद्यता का वर्णन इस प्रकार किया कि एक हमलावर प्रभावित सिस्टम पर मनमाना कोड निष्पादित करने के लिए इसका फायदा उठा सकता है। कंपनी की एडवाइजरी में बिना कोई और विवरण दिए कहा गया, "एप्पल एक रिपोर्ट से अवगत है कि इस मुद्दे का फायदा उठाया जा सकता है।"
कंपनी ने जारी किया है अद्यतन संस्करण भेद्यता को दूर करने के लिए अतिरिक्त सत्यापन जांच के साथ iOS, iPadOS, macOS, iPadOS और tvOS की।
CVE-2024-23222 पहली शून्य-दिन की भेद्यता है जिसे Apple ने 2024 में WebKit में प्रकट किया है। पिछले साल, कंपनी ने प्रौद्योगिकी में कुल 11 शून्य-दिन बग का खुलासा किया था - यह एक कैलेंडर वर्ष में अब तक का सबसे अधिक है। 2021 के बाद से, Apple ने कुल 22 WebKit जीरो-डे बग का खुलासा किया है, जो शोधकर्ताओं और हमलावरों दोनों की ब्राउज़र में बढ़ती रुचि को उजागर करता है।
समानांतर में, ऐप्पल के नए वेबकिट ज़ीरो-डे का खुलासा पिछले सप्ताह Google के खुलासे के बाद हुआ क्रोम में शून्य-दिन. हाल के महीनों में यह कम से कम तीसरी बार है जब दोनों विक्रेताओं ने एक-दूसरे के करीब अपने-अपने ब्राउज़र में शून्य-दिनों का खुलासा किया है। प्रवृत्ति से पता चलता है कि शोधकर्ता और हमलावर दोनों प्रौद्योगिकियों में खामियों के लिए लगभग समान रूप से जांच कर रहे हैं, संभवतः क्योंकि क्रोम और सफारी भी सबसे व्यापक रूप से उपयोग किए जाने वाले ब्राउज़र हैं।
जासूसी का ख़तरा
Apple ने नए प्रकट किए गए शून्य-दिन बग को लक्षित करने वाली शोषण गतिविधि की प्रकृति का खुलासा नहीं किया है। लेकिन शोधकर्ताओं ने बताया है कि वाणिज्यिक स्पाइवेयर विक्रेताओं ने लक्षित विषयों के आईफ़ोन पर निगरानी सॉफ़्टवेयर छोड़ने के लिए कंपनी के कुछ हालिया सॉफ़्टवेयर का दुरुपयोग किया है।
सितंबर 2023 में टोरंटो यूनिवर्सिटी की सिटीजन लैब ने Apple को इसके बारे में चेतावनी दी थी दो नो-क्लिक शून्य-दिन की कमजोरियाँ आईओएस में कि निगरानी सॉफ्टवेयर के एक विक्रेता ने वाशिंगटन, डीसी-आधारित संगठन के एक कर्मचारी के आईफोन पर प्रीडेटर स्पाइवेयर टूल को गिराने के लिए शोषण किया था। उसी महीने, सिटीजन लैब के शोधकर्ताओं ने एक अलग शून्य-दिन शोषण श्रृंखला की भी सूचना दी - जिसमें एक सफारी बग भी शामिल था - उन्होंने आईओएस उपकरणों को लक्षित करने की खोज की थी।
Google ने हाल ही में कुछ अवसरों पर, लगभग Apple के साथ मिलकर, Chrome में इसी तरह की चिंताओं को चिह्नित किया है। उदाहरण के लिए, सितंबर 2023 में, लगभग उसी समय जब Apple ने अपने जीरो-डे बग का खुलासा किया था, Google के खतरा विश्लेषण समूह के शोधकर्ताओं ने Intellexa नामक एक वाणिज्यिक सॉफ्टवेयर कंपनी की पहचान की, जो एक शोषण श्रृंखला विकसित कर रही थी - जिसमें क्रोम जीरो-डे शामिल था (CVE-2023-4762) - एंड्रॉइड डिवाइस पर प्रीडेटर इंस्टॉल करने के लिए। कुछ ही दिन पहले, Google ने Chrome में एक और शून्य-दिवस का खुलासा किया था (CVE-2023-4863) उसी इमेज प्रोसेसिंग लाइब्रेरी में जिसमें Apple ने शून्य-दिन का खुलासा किया था।
ब्राउज़र सुरक्षा फर्म मेनलो सिक्योरिटी के मुख्य सुरक्षा वास्तुकार लियोनेल लिट्टी का कहना है कि वर्तमान में उपलब्ध सीमित जानकारी को देखते हुए, यह कहना मुश्किल है कि 2024 के लिए Google और Apple के पहले ब्राउज़र जीरो-डेज़ के बीच कोई संबंध है या नहीं। "क्रोम सीवीई जावास्क्रिप्ट इंजन (v8) में था और सफारी एक अलग जावास्क्रिप्ट इंजन का उपयोग करता है," लिट्टी कहते हैं। "हालांकि, विभिन्न कार्यान्वयनों में बहुत समान खामियां होना असामान्य नहीं है।"
लिट्टी का कहना है कि एक बार जब हमलावरों को एक ब्राउज़र में सॉफ्ट स्पॉट मिल जाता है, तो वे उसी क्षेत्र में अन्य ब्राउज़रों की जांच करने के लिए भी जाने जाते हैं। "तो, हालांकि यह संभावना नहीं है कि यह बिल्कुल वही भेद्यता है, यह बहुत आश्चर्य की बात नहीं होगी अगर दोनों जंगली कारनामों के बीच कुछ साझा डीएनए हो।"
शून्य-आवर ब्राउज़र-आधारित फ़िशिंग हमलों में विस्फोट
अब तक, निगरानी विक्रेता ही अकेले नहीं हैं जो सामान्य रूप से ब्राउज़र की कमजोरियों और ब्राउज़रों का फायदा उठाने की कोशिश कर रहे हैं। मेनलो सिक्योरिटी की जल्द ही जारी होने वाली रिपोर्ट के अनुसार, वर्ष के पहले छह महीनों की तुलना में 198 की दूसरी छमाही में ब्राउज़र-आधारित फ़िशिंग हमलों में 2023% की वृद्धि हुई थी। आक्रामक हमले - एक श्रेणी जिसे मेनलो पारंपरिक सुरक्षा नियंत्रणों से बचने के लिए तकनीकों का उपयोग करने के रूप में वर्णित करता है - 206% तक और भी अधिक बढ़ गया, और 30 की दूसरी छमाही में सभी ब्राउज़र-आधारित हमलों के 2023% के लिए जिम्मेदार है।
मेनलो का कहना है कि 30 दिनों की अवधि में उसने सुरक्षित वेब गेटवे और अन्य एंडपॉइंट खतरे का पता लगाने वाले उपकरणों से बचकर 11,000 से अधिक तथाकथित "शून्य-घंटे" ब्राउज़र-आधारित फ़िशिंग हमलों का अवलोकन किया।
मेनलो ने आगामी रिपोर्ट में कहा, "ब्राउज़र एक व्यावसायिक एप्लिकेशन है जिसके बिना उद्यम नहीं रह सकते, लेकिन यह सुरक्षा और प्रबंधनीयता के दृष्टिकोण से पीछे रह गया है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :हैस
- :है
- :नहीं
- :कहाँ
- 000
- 11
- 2021
- 2023
- 2024
- 22
- a
- About
- कोस
- अनुसार
- हिसाब
- सक्रिय रूप से
- गतिविधि
- वास्तव में
- अतिरिक्त
- पता
- सलाहकार
- लग जाना
- बाद
- सब
- लगभग
- भी
- an
- विश्लेषण
- और
- एंड्रॉयड
- अन्य
- कोई
- Apple
- आवेदन
- हैं
- क्षेत्र
- AS
- सौंपा
- मान लिया गया है
- At
- आक्रमण
- उपलब्ध
- जागरूक
- मूल रूप से
- BE
- क्योंकि
- किया गया
- पीछे
- संबद्ध
- के बीच
- के छात्रों
- ब्राउज़र
- ब्राउज़रों
- दोष
- कीड़े
- व्यापार
- लेकिन
- by
- कैलेंडर
- बुलाया
- कर सकते हैं
- मामला
- वर्ग
- कुछ
- श्रृंखला
- जाँचता
- प्रमुख
- Chrome
- नागरिक
- समापन
- कोड
- वाणिज्यिक
- कंपनी
- तुलना
- चिंताओं
- भ्रम
- संबंध
- नियंत्रण
- सका
- वर्तमान में
- सीवीई
- दिन
- वर्णित
- वर्णन करता है
- विवरण
- खोज
- विकासशील
- डिवाइस
- विभिन्न
- प्रकटीकरण
- की खोज
- श्रीमती
- बूंद
- से प्रत्येक
- पूर्व
- कर्मचारी
- endpoint
- इंजन
- उद्यम
- समान रूप से
- ईथर (ईटीएच)
- बचना
- और भी
- कभी
- निष्पादित
- शोषण करना
- शोषित
- कारनामे
- शहीदों
- दूर
- कुछ
- फर्म
- प्रथम
- फ्लैग किए गए
- खामियां
- इस प्रकार है
- के लिए
- पाया
- से
- आगे
- प्रवेश द्वार
- सामान्य जानकारी
- दी
- गूगल
- समूह
- बढ़ रहा है
- बढ़ती रूची
- था
- आधा
- हो जाता
- कठिन
- है
- उच्चतर
- पर प्रकाश डाला
- तथापि
- एचटीएमएल
- HTTPS
- पहचान
- if
- की छवि
- कार्यान्वयन
- in
- शामिल
- गलत रूप से
- बढ़ना
- करें-
- निवेश
- स्थापित
- उदाहरण
- ब्याज
- iOS
- iPadOS
- iPhone
- मुद्दा
- IT
- आईटी इस
- जावास्क्रिप्ट
- जेपीजी
- केवल
- जानने वाला
- प्रयोगशाला
- पिछली बार
- पिछले साल
- कम से कम
- पुस्तकालय
- संभावित
- सीमित
- जीना
- MacOS
- मई..
- महीना
- महीने
- अधिक
- अधिकांश
- प्रकृति
- निकट
- नया
- नए नए
- NIST
- विख्यात
- मनाया
- अवसरों
- of
- की पेशकश
- on
- ONE
- लोगों
- केवल
- or
- संगठन
- अन्य
- समानांतर
- अवधि
- परिप्रेक्ष्य
- फ़िशिंग
- फ़िशिंग हमले
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- शिकारी
- जांच
- प्रसंस्करण
- प्राप्त
- हाल
- हाल ही में
- रिहा
- रिपोर्ट
- की सूचना दी
- शोधकर्ताओं
- कि
- पता चलता है
- s
- Safari
- कहा
- वही
- कहना
- कहते हैं
- दूसरा
- सुरक्षित
- सुरक्षा
- देखकर
- अलग
- सितंबर
- साझा
- समान
- के बाद से
- एक
- छह
- छह महीने
- So
- नरम
- सॉफ्टवेयर
- कुछ
- कुछ
- Spot
- जासूसी
- स्पायवेयर
- उपजी
- पता चलता है
- बढ़ी
- आश्चर्य की बात
- निगरानी
- सिस्टम
- T
- अग्रानुक्रम
- लक्ष्य
- को लक्षित
- तकनीक
- टेक्नोलॉजीज
- टेक्नोलॉजी
- से
- कि
- RSI
- लेकिन हाल ही
- वहाँ।
- वे
- तीसरा
- इसका
- धमकी
- खतरे का पता लगाना
- पहर
- सेवा मेरे
- भी
- साधन
- उपकरण
- टोरंटो
- कुल
- परंपरागत
- प्रवृत्ति
- की कोशिश कर रहा
- दो
- टाइप
- असामान्य
- विश्वविद्यालय
- संभावना नहीं
- आगामी
- प्रयुक्त
- का उपयोग करता है
- का उपयोग
- मान्य
- सत्यापन
- विक्रेता
- विक्रेताओं
- बहुत
- कमजोरियों
- भेद्यता
- आगाह
- था
- वाशिंगटन
- वेब
- वेबकिट
- सप्ताह
- क्या
- कब
- कौन कौन से
- जब
- व्यापक रूप से
- साथ में
- बिना
- नहीं
- वर्ष
- कल
- जेफिरनेट
- जीरो-डे बग