Days After Google, Apple ujawnia wykorzystany Zero-Day w silniku przeglądarki

Firma Apple załatała aktywnie wykorzystywany błąd dnia zerowego w silniku przeglądarki WebKit dla przeglądarki Safari.

Błąd, przypisany jako CVE-2024-23222, wywodzi się z A błąd wpisz błąd, co zasadniczo ma miejsce, gdy aplikacja błędnie zakłada, że ​​dane wejściowe, które otrzymuje, są określonego typu, bez faktycznego sprawdzenia — lub nieprawidłowego sprawdzenia — czy tak jest.

Aktywnie wykorzystywane

Firma Apple określiła wczoraj tę lukę jako coś, co osoba atakująca może wykorzystać w celu wykonania dowolnego kodu w systemach, których dotyczy luka. „Apple wie o doniesieniu, że ten problem mógł zostać wykorzystany” – zauważono w poradniku firmy, nie podając żadnych dalszych szczegółów.

Firma wydała zaktualizowane wersje iOS, iPadOS, macOS, iPadOS i tvOS z dodatkowymi kontrolami weryfikacyjnymi w celu usunięcia luki.

CVE-2024-23222 to pierwsza luka dnia zerowego ujawniona przez Apple w WebKit w 2024 r. W zeszłym roku firma ujawniła łącznie 11 błędów dnia zerowego w tej technologii — najwięcej w historii w ciągu jednego roku kalendarzowego. Od 2021 r. Apple ujawniło łącznie 22 błędy dnia zerowego WebKit, co podkreśla rosnące zainteresowanie przeglądarką zarówno ze strony badaczy, jak i atakujących.

Równolegle ujawnienie przez Apple nowego dnia zerowego WebKit następuje po ujawnieniu przez Google w zeszłym tygodniu: zero-day w Chrome. To co najmniej trzeci raz w ciągu ostatnich miesięcy, kiedy obaj dostawcy ujawnili dni zerowe w swoich przeglądarkach znajdujących się blisko siebie. Tendencja sugeruje, że badacze i napastnicy niemal w równym stopniu badają wady obu technologii, prawdopodobnie dlatego, że Chrome i Safari są również najczęściej używanymi przeglądarkami.

Zagrożenie szpiegowskie

Firma Apple nie ujawniła charakteru eksploitu, którego celem jest nowo ujawniony błąd dnia zerowego. Jednak badacze donieśli, że komercyjni dostawcy oprogramowania szpiegującego nadużywają niektórych z nowszych programów firmy, aby upuścić oprogramowanie monitorujące na iPhone'ach docelowych osób.

We wrześniu 2023 r. Citizen Lab na Uniwersytecie w Toronto ostrzegło firmę Apple przed dwie luki typu zero-day niewymagające kliknięcia w systemie iOS, który dostawca oprogramowania monitorującego wykorzystał do upuszczenia narzędzia szpiegującego Predator na iPhone'a należącego do pracownika organizacji z siedzibą w Waszyngtonie. W tym samym miesiącu badacze z Citizen Lab zgłosili również oddzielny łańcuch exploitów zero-day — obejmujący błąd przeglądarki Safari — którego celem byli urządzenia z systemem iOS.

Ostatnio Google kilkakrotnie zgłaszał podobne obawy dotyczące przeglądarki Chrome, niemal wspólnie z firmą Apple. Na przykład we wrześniu 2023 r., mniej więcej w tym samym czasie, gdy Apple ujawniło swoje błędy dnia zerowego, badacze z grupy Google zajmującej się analizą zagrożeń zidentyfikowali komercyjną firmę zajmującą się oprogramowaniem o nazwie Intellexa, która opracowuje łańcuch exploitów — który obejmował błąd dnia zerowego dla przeglądarki Chrome (CVE-2023-4762) — aby zainstalować Predator na urządzeniach z Androidem. Zaledwie kilka dni wcześniej Google ujawnił kolejny dzień zerowy w przeglądarce Chrome (CVE-2023-4863) w tej samej bibliotece przetwarzania obrazu, w której Apple ujawnił dzień zerowy.

Lionel Litty, główny architekt bezpieczeństwa w firmie Menlo Security zajmującej się bezpieczeństwem przeglądarek, twierdzi, że biorąc pod uwagę obecnie ograniczone informacje, trudno powiedzieć, czy istnieje jakikolwiek związek między Google a pierwszą przeglądarką Apple typu zero-day w 2024 r. „Chrome CVE korzystał z silnika JavaScript (v8), a Safari korzysta z innego silnika JavaScript” – mówi Litty. „Nierzadko jednak różne implementacje mają bardzo podobne wady”.

Litty twierdzi, że gdy napastnicy znajdą słaby punkt w jednej przeglądarce, mogą również sondować inne przeglądarki w tym samym obszarze. „Chociaż jest mało prawdopodobne, aby była to dokładnie ta sama luka, nie byłoby zbyt zaskakujące, gdyby oba exploity miały wspólne DNA.”

Eksplozja w zerogodzinnych atakach phishingowych na przeglądarkę

Dostawcy rozwiązań do nadzoru nie są jak dotąd jedynymi, którzy próbują wykorzystać luki w zabezpieczeniach przeglądarek i przeglądarek w ogóle. Według raportu Menlo Security, który wkrótce zostanie opublikowany, w drugiej połowie 198 r. w porównaniu z pierwszymi sześcioma miesiącami roku nastąpił wzrost liczby ataków phishingowych za pośrednictwem przeglądarek. Ataki wymijające – kategoria, którą Menlo opisuje jako wykorzystującą techniki omijania tradycyjnych kontroli bezpieczeństwa – wzrosła jeszcze bardziej, o 2023%, i stanowiły 206% wszystkich ataków opartych na przeglądarkach w drugiej połowie 30 roku.

Menlo twierdzi, że w ciągu 30 dni zaobserwowało ponad 11,000 XNUMX tak zwanych ataków phishingowych „godziny zerowej” opartych na przeglądarce, które omijają Secure Web Gateway i inne narzędzia do wykrywania zagrożeń dla punktów końcowych.

„Przeglądarka to aplikacja biznesowa, bez której przedsiębiorstwa nie mogą się obejść, ale pozostaje w tyle z punktu widzenia bezpieczeństwa i możliwości zarządzania” – stwierdził Menlo w nadchodzącym raporcie.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine