Google के कुछ दिनों बाद, Apple ने ब्राउज़र इंजन में शून्य-दिवस के शोषण का खुलासा किया

Apple ने Safari के लिए अपने WebKit ब्राउज़र इंजन में सक्रिय रूप से उपयोग किए गए शून्य-दिन बग को पैच कर दिया है।

बग, के रूप में असाइन किया गया CVE-2024-23222, ए से उपजा है टाइप कन्फ्यूजन त्रुटि, जो मूल रूप से तब होता है जब कोई एप्लिकेशन गलत तरीके से मान लेता है कि उसे प्राप्त इनपुट वास्तव में सत्यापित किए बिना एक निश्चित प्रकार का है - या गलत तरीके से मान्य है - यही स्थिति है।

सक्रिय रूप से शोषण किया गया

Apple ने कल इस भेद्यता का वर्णन इस प्रकार किया कि एक हमलावर प्रभावित सिस्टम पर मनमाना कोड निष्पादित करने के लिए इसका फायदा उठा सकता है। कंपनी की एडवाइजरी में बिना कोई और विवरण दिए कहा गया, "एप्पल एक रिपोर्ट से अवगत है कि इस मुद्दे का फायदा उठाया जा सकता है।"

कंपनी ने जारी किया है अद्यतन संस्करण भेद्यता को दूर करने के लिए अतिरिक्त सत्यापन जांच के साथ iOS, iPadOS, macOS, iPadOS और tvOS की।

CVE-2024-23222 पहली शून्य-दिन की भेद्यता है जिसे Apple ने 2024 में WebKit में प्रकट किया है। पिछले साल, कंपनी ने प्रौद्योगिकी में कुल 11 शून्य-दिन बग का खुलासा किया था - यह एक कैलेंडर वर्ष में अब तक का सबसे अधिक है। 2021 के बाद से, Apple ने कुल 22 WebKit जीरो-डे बग का खुलासा किया है, जो शोधकर्ताओं और हमलावरों दोनों की ब्राउज़र में बढ़ती रुचि को उजागर करता है।

समानांतर में, ऐप्पल के नए वेबकिट ज़ीरो-डे का खुलासा पिछले सप्ताह Google के खुलासे के बाद हुआ क्रोम में शून्य-दिन. हाल के महीनों में यह कम से कम तीसरी बार है जब दोनों विक्रेताओं ने एक-दूसरे के करीब अपने-अपने ब्राउज़र में शून्य-दिनों का खुलासा किया है। प्रवृत्ति से पता चलता है कि शोधकर्ता और हमलावर दोनों प्रौद्योगिकियों में खामियों के लिए लगभग समान रूप से जांच कर रहे हैं, संभवतः क्योंकि क्रोम और सफारी भी सबसे व्यापक रूप से उपयोग किए जाने वाले ब्राउज़र हैं।

जासूसी का ख़तरा

Apple ने नए प्रकट किए गए शून्य-दिन बग को लक्षित करने वाली शोषण गतिविधि की प्रकृति का खुलासा नहीं किया है। लेकिन शोधकर्ताओं ने बताया है कि वाणिज्यिक स्पाइवेयर विक्रेताओं ने लक्षित विषयों के आईफ़ोन पर निगरानी सॉफ़्टवेयर छोड़ने के लिए कंपनी के कुछ हालिया सॉफ़्टवेयर का दुरुपयोग किया है।

सितंबर 2023 में टोरंटो यूनिवर्सिटी की सिटीजन लैब ने Apple को इसके बारे में चेतावनी दी थी दो नो-क्लिक शून्य-दिन की कमजोरियाँ आईओएस में कि निगरानी सॉफ्टवेयर के एक विक्रेता ने वाशिंगटन, डीसी-आधारित संगठन के एक कर्मचारी के आईफोन पर प्रीडेटर स्पाइवेयर टूल को गिराने के लिए शोषण किया था। उसी महीने, सिटीजन लैब के शोधकर्ताओं ने एक अलग शून्य-दिन शोषण श्रृंखला की भी सूचना दी - जिसमें एक सफारी बग भी शामिल था - उन्होंने आईओएस उपकरणों को लक्षित करने की खोज की थी।

Google ने हाल ही में कुछ अवसरों पर, लगभग Apple के साथ मिलकर, Chrome में इसी तरह की चिंताओं को चिह्नित किया है। उदाहरण के लिए, सितंबर 2023 में, लगभग उसी समय जब Apple ने अपने जीरो-डे बग का खुलासा किया था, Google के खतरा विश्लेषण समूह के शोधकर्ताओं ने Intellexa नामक एक वाणिज्यिक सॉफ्टवेयर कंपनी की पहचान की, जो एक शोषण श्रृंखला विकसित कर रही थी - जिसमें क्रोम जीरो-डे शामिल था (CVE-2023-4762) - एंड्रॉइड डिवाइस पर प्रीडेटर इंस्टॉल करने के लिए। कुछ ही दिन पहले, Google ने Chrome में एक और शून्य-दिवस का खुलासा किया था (CVE-2023-4863) उसी इमेज प्रोसेसिंग लाइब्रेरी में जिसमें Apple ने शून्य-दिन का खुलासा किया था।

ब्राउज़र सुरक्षा फर्म मेनलो सिक्योरिटी के मुख्य सुरक्षा वास्तुकार लियोनेल लिट्टी का कहना है कि वर्तमान में उपलब्ध सीमित जानकारी को देखते हुए, यह कहना मुश्किल है कि 2024 के लिए Google और Apple के पहले ब्राउज़र जीरो-डेज़ के बीच कोई संबंध है या नहीं। "क्रोम सीवीई जावास्क्रिप्ट इंजन (v8) में था और सफारी एक अलग जावास्क्रिप्ट इंजन का उपयोग करता है," लिट्टी कहते हैं। "हालांकि, विभिन्न कार्यान्वयनों में बहुत समान खामियां होना असामान्य नहीं है।"

लिट्टी का कहना है कि एक बार जब हमलावरों को एक ब्राउज़र में सॉफ्ट स्पॉट मिल जाता है, तो वे उसी क्षेत्र में अन्य ब्राउज़रों की जांच करने के लिए भी जाने जाते हैं। "तो, हालांकि यह संभावना नहीं है कि यह बिल्कुल वही भेद्यता है, यह बहुत आश्चर्य की बात नहीं होगी अगर दोनों जंगली कारनामों के बीच कुछ साझा डीएनए हो।"

शून्य-आवर ब्राउज़र-आधारित फ़िशिंग हमलों में विस्फोट

अब तक, निगरानी विक्रेता ही अकेले नहीं हैं जो सामान्य रूप से ब्राउज़र की कमजोरियों और ब्राउज़रों का फायदा उठाने की कोशिश कर रहे हैं। मेनलो सिक्योरिटी की जल्द ही जारी होने वाली रिपोर्ट के अनुसार, वर्ष के पहले छह महीनों की तुलना में 198 की दूसरी छमाही में ब्राउज़र-आधारित फ़िशिंग हमलों में 2023% की वृद्धि हुई थी। आक्रामक हमले - एक श्रेणी जिसे मेनलो पारंपरिक सुरक्षा नियंत्रणों से बचने के लिए तकनीकों का उपयोग करने के रूप में वर्णित करता है - 206% तक और भी अधिक बढ़ गया, और 30 की दूसरी छमाही में सभी ब्राउज़र-आधारित हमलों के 2023% के लिए जिम्मेदार है।

मेनलो का कहना है कि 30 दिनों की अवधि में उसने सुरक्षित वेब गेटवे और अन्य एंडपॉइंट खतरे का पता लगाने वाले उपकरणों से बचकर 11,000 से अधिक तथाकथित "शून्य-घंटे" ब्राउज़र-आधारित फ़िशिंग हमलों का अवलोकन किया।

मेनलो ने आगामी रिपोर्ट में कहा, "ब्राउज़र एक व्यावसायिक एप्लिकेशन है जिसके बिना उद्यम नहीं रह सकते, लेकिन यह सुरक्षा और प्रबंधनीयता के दृष्टिकोण से पीछे रह गया है।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine