Apple har lappet en aktivt utnyttet zero-day bug i sin WebKit-nettlesermotor for Safari.
Feilen, tilordnet som CVE-2024-23222, stammer fra en type forvirringsfeil, som i utgangspunktet er det som skjer når en applikasjon feilaktig antar at inndataene den mottar er av en bestemt type uten å faktisk validere - eller feilaktig validere - at det er tilfelle.
Aktivt utnyttet
Apple beskrev i går sårbarheten som noe en angriper kunne utnytte for å kjøre vilkårlig kode på berørte systemer. "Apple er klar over en rapport om at dette problemet kan ha blitt utnyttet," bemerket selskapets råd, uten å gi noen ytterligere detaljer.
Selskapet har gitt ut oppdaterte versjoner av iOS, iPadOS, macOS, iPadOS og tvOS med ekstra valideringssjekker for å løse sårbarheten.
CVE-2024-23222 er den første nulldagers-sårbarheten som Apple har avslørt i WebKit i 2024. I fjor avslørte selskapet totalt 11 nulldagers-feil i teknologien - det er det mest noensinne i løpet av et enkelt kalenderår. Siden 2021 har Apple avslørt totalt 22 WebKit zero-day bugs, og fremhever den økende interessen for nettleseren fra både forskere og angripere.
Parallelt følger Apples avsløring av det nye WebKit zero-day på Googles avsløring forrige uke av en null dag i Chrome. Det er minst tredje gang de siste månedene hvor begge leverandørene har avslørt null-dager i sine respektive nettlesere i umiddelbar nærhet av hverandre. Trenden antyder at forskere og angripere leter nesten likt etter mangler i begge teknologiene, sannsynligvis fordi Chrome og Safari også er de mest brukte nettleserne.
Spioneringstrusselen
Apple har ikke avslørt arten av utnyttelsesaktiviteten rettet mot den nylig avslørte zero-day bug. Men forskere har rapportert at de har sett kommersielle spionvareleverandører som misbruker noen av selskapets nyere, for å droppe overvåkingsprogramvare på iPhones av målpersoner.
I september 2023 advarte Toronto Universitys Citizen Lab Apple om to no-click zero-day sårbarheter i iOS som en leverandør av overvåkingsprogramvare hadde utnyttet for å slippe Predator-spywareverktøyet på en iPhone som tilhører en ansatt i en Washington, DC-basert organisasjon. Samme måned rapporterte Citizen Lab-forskere også om en egen nulldagers utnyttelseskjede – som inkluderte en Safari-feil – de hadde oppdaget målrettet mot iOS-enheter.
Google har rapportert lignende bekymringer i Chrome, nesten i takt med Apple, ved noen anledninger nylig. I september 2023, for eksempel, nesten samtidig som Apple avslørte nulldagsfeilene sine, identifiserte forskere fra Googles trusselanalysegruppe et kommersielt programvareselskap kalt Intellexa som utviklet en utnyttelseskjede – som inkluderte en Chrome zero-day (CVE-2023-4762) — for å installere Predator på Android-enheter. Bare noen dager tidligere hadde Google avslørt nok en null-dag i Chrome (CVE-2023-4863) i det samme bildebehandlingsbiblioteket som Apple hadde avslørt en nulldag i.
Lionel Litty, sjefssikkerhetsarkitekt hos nettlesersikkerhetsfirmaet Menlo Security, sier det er vanskelig å si om det er noen forbindelse mellom Google og Apples første nettleser zero-days for 2024, gitt den begrensede informasjonen som er tilgjengelig for øyeblikket. "Chrome CVE var i JavaScript-motoren (v8) og Safari bruker en annen JavaScript-motor," sier Litty. "Det er imidlertid ikke uvanlig at forskjellige implementeringer har veldig like feil."
Når angripere først har funnet et soft spot i én nettleser, er de også kjent for å undersøke andre nettlesere i samme område, sier Litty. "Så selv om det er usannsynlig at dette er nøyaktig samme sårbarhet, ville det ikke være så overraskende om det var noe delt DNA mellom de to i naturen."
Eksplosjon i Zero-Hour nettleserbaserte phishing-angrep
Overvåkingsleverandører er langt på vei ikke de eneste som prøver å utnytte nettlesers sårbarheter og nettlesere generelt. I følge en snart utgitt rapport fra Menlo Security var det en økning på 198 % i nettleserbaserte phishing-angrep i andre halvdel av 2023 sammenlignet med årets første seks måneder. Unnvikende angrep – en kategori som Menlo beskriver som bruk av teknikker for å unngå tradisjonelle sikkerhetskontroller – økte enda høyere, med 206 %, og utgjorde 30 % av alle nettleserbaserte angrep i andre halvdel av 2023.
I løpet av en 30-dagers periode, sier Menlo at det har observert mer enn 11,000 XNUMX såkalte "zero-hour" nettleserbaserte phishing-angrep som unndrar seg Secure Web Gateway og andre verktøy for oppdagelse av endepunktstrusler.
"Nettleseren er forretningsapplikasjonen bedrifter ikke kan leve uten, men den har falt bak fra et sikkerhets- og administrasjonsperspektiv," sa Menlo i den kommende rapporten.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- : har
- :er
- :ikke
- :hvor
- 000
- 11
- 2021
- 2023
- 2024
- 22
- a
- Om oss
- misbruker
- Ifølge
- rede
- aktivt
- aktivitet
- faktisk
- Ytterligere
- adresse
- rådgivende
- påvirkes
- Etter
- Alle
- nesten
- også
- an
- analyse
- og
- android
- En annen
- noen
- eple
- Søknad
- ER
- AREA
- AS
- tildelt
- antar
- At
- Angrep
- tilgjengelig
- klar
- I utgangspunktet
- BE
- fordi
- vært
- bak
- tilhørighet
- mellom
- både
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- nettlesere
- Bug
- bugs
- virksomhet
- men
- by
- Kalender
- som heter
- CAN
- saken
- Kategori
- viss
- kjede
- Sjekker
- sjef
- Chrome
- borger
- Lukke
- kode
- kommersiell
- Selskapet
- sammenlignet
- bekymringer
- forvirring
- tilkobling
- kontroller
- kunne
- I dag
- cve
- Dager
- beskrevet
- beskriver
- detaljer
- Gjenkjenning
- utvikle
- Enheter
- forskjellig
- avsløring
- oppdaget
- dna
- Drop
- hver enkelt
- Tidligere
- Ansatt
- Endpoint
- Motor
- bedrifter
- like
- Eter (ETH)
- unngå
- Selv
- NOEN GANG
- henrette
- Exploit
- Exploited
- exploits
- Fallen
- langt
- Noen få
- Firm
- Først
- flaggede
- feil
- følger
- Til
- funnet
- fra
- videre
- gateway
- general
- gitt
- Gruppe
- Økende
- økende interesse
- HAD
- Halvparten
- skjer
- Hard
- Ha
- høyere
- utheving
- Men
- HTML
- HTTPS
- identifisert
- if
- bilde
- implementeringer
- in
- inkludert
- feil
- Øke
- informasjon
- inngang
- installere
- f.eks
- interesse
- iOS
- iPadOS
- iPhone
- utstedelse
- IT
- DET ER
- Javascript
- jpg
- bare
- kjent
- lab
- Siste
- I fjor
- minst
- Bibliotek
- Sannsynlig
- Begrenset
- leve
- MacOS
- Kan..
- Måned
- måneder
- mer
- mest
- Natur
- Nær
- Ny
- nylig
- nst
- bemerket
- observerte
- anledninger
- of
- tilby
- on
- ONE
- seg
- bare
- or
- organisasjon
- Annen
- Parallel
- perioden
- perspektiv
- phishing
- phishing-angrep
- plato
- Platon Data Intelligence
- PlatonData
- predator
- probe
- prosessering
- mottar
- nylig
- nylig
- utgitt
- rapporterer
- rapportert
- forskere
- de
- avslører
- s
- Safari
- Sa
- samme
- sier
- sier
- Sekund
- sikre
- sikkerhet
- se
- separat
- September
- delt
- lignende
- siden
- enkelt
- SIX
- Seks måneder
- So
- Soft
- Software
- noen
- noe
- Spot
- spionasje
- spyware
- stammer
- foreslår
- strømmet
- overrask
- overvåking
- Systemer
- T
- tandem
- Target
- rettet mot
- teknikker
- Technologies
- Teknologi
- enn
- Det
- De
- deres
- Der.
- de
- Tredje
- denne
- trussel
- trussel oppdagelse
- tid
- til
- også
- verktøy
- verktøy
- toronto
- Totalt
- tradisjonelle
- Trend
- prøver
- to
- typen
- Uvanlig
- universitet
- usannsynlig
- kommende
- brukt
- bruker
- ved hjelp av
- validere
- validering
- leverandør
- leverandører
- veldig
- Sikkerhetsproblemer
- sårbarhet
- advarte
- var
- washington
- web
- webkit
- uke
- Hva
- når
- hvilken
- mens
- allment
- med
- uten
- ville ikke
- år
- i går
- zephyrnet
- null-dagers feil
