La câteva zile după Google, Apple dezvăluie exploatarea Zero Day în Browser Engine

Apple a corectat o eroare zero-day exploatată în mod activ în motorul său de browser WebKit pentru Safari.

Bug-ul, atribuit ca CVE-2024-23222, provine din a eroare de confuzie de tip, care practic este ceea ce se întâmplă atunci când o aplicație presupune în mod incorect intrarea pe care o primește este de un anumit tip, fără a valida efectiv - sau a valida incorect - asta pentru a fi cazul.

Exploatat activ

Apple a descris ieri vulnerabilitatea ca pe ceva ce un atacator ar putea exploata pentru a executa cod arbitrar pe sistemele afectate. „Apple este la curent cu un raport conform căruia această problemă ar fi putut fi exploatată”, a remarcat avizul companiei, fără a oferi alte detalii.

Compania a lansat versiuni actualizate de iOS, iPadOS, macOS, iPadOS și tvOS cu verificări suplimentare de validare pentru a aborda vulnerabilitatea.

CVE-2024-23222 este prima vulnerabilitate zero-day pe care Apple a dezvăluit-o în WebKit în 2024. Anul trecut, compania a dezvăluit un total de 11 erori zero-day în tehnologie - cea mai mare înregistrată vreodată într-un singur an calendaristic. Din 2021, Apple a dezvăluit un total de 22 de erori WebKit zero-day, evidențiind interesul tot mai mare față de browser atât din partea cercetătorilor, cât și al atacatorilor.

În paralel, dezvăluirea de către Apple a noului WebKit zero-day urmează dezvăluirii de către Google săptămâna trecută a unui zero-day în Chrome. Este cel puțin a treia oară în ultimele luni când ambii vânzători au dezvăluit zero-days în browserele lor, în imediata apropiere unul de celălalt. Tendința sugerează că cercetătorii și atacatorii cercetează aproape în egală măsură defecte ale ambelor tehnologii, probabil pentru că Chrome și Safari sunt, de asemenea, cele mai utilizate browsere.

Amenințarea spionajului

Apple nu a dezvăluit natura activității de exploatare care vizează noul bug zero-day. Dar cercetătorii au raportat că au văzut furnizori comerciali de spyware abuzând de unele dintre cele mai recente ale companiei, pentru a renunța la software-ul de supraveghere pe iPhone-urile subiecților țintă.

În septembrie 2023, Citizen Lab al Universității din Toronto a avertizat Apple despre două vulnerabilități zero-day fără clic în iOS pe care un furnizor de software de supraveghere a exploatat-o ​​pentru a arunca instrumentul de spyware Predator pe un iPhone aparținând unui angajat al unei organizații din Washington, DC. În aceeași lună, cercetătorii Citizen Lab au raportat, de asemenea, un lanț separat de exploatare de zi zero - care includea o eroare Safari - pe care au descoperit că vizează dispozitivele iOS.

Google a semnalat preocupări similare în Chrome, aproape în tandem cu Apple, de câteva ori recent. În septembrie 2023, de exemplu, aproape în momentul în care Apple și-a dezvăluit erorile zero-day, cercetătorii de la grupul de analiză a amenințărilor Google au identificat o companie de software comercială numită Intellexa ca fiind în curs de dezvoltare a unui lanț de exploatare - care includea un Chrome zero-day (CVE-2023-4762) — pentru a instala Predator pe dispozitive Android. Cu doar câteva zile mai devreme, Google a dezvăluit încă o zi zero în Chrome (CVE-2023-4863) în aceeași bibliotecă de procesare a imaginilor în care Apple a dezvăluit o zi zero.

Lionel Litty, arhitect-șef de securitate la firma de securitate pentru browser Menlo Security, spune că este greu de spus dacă există vreo legătură între Google și primul browser-zero-day al Apple pentru 2024, având în vedere informațiile limitate disponibile în prezent. „Chrome CVE a fost în motorul JavaScript (v8), iar Safari folosește un motor JavaScript diferit”, spune Litty. „Cu toate acestea, nu este neobișnuit ca diferite implementări să aibă defecte foarte asemănătoare.”

Odată ce atacatorii au găsit un punct slab într-un browser, se știe că cercetează și alte browsere din aceeași zonă, spune Litty. „Așadar, deși este puțin probabil ca aceasta să fie exact aceeași vulnerabilitate, nu ar fi prea surprinzător dacă ar exista un anumit ADN comun între cele două exploatări în sălbăticie.”

Explozie în atacuri de phishing bazate pe browser în oră zero

Furnizorii de supraveghere nu sunt, de departe, singurii care încearcă să exploateze vulnerabilitățile browserului și browserele în general. Potrivit unui raport de la Menlo Security, care urmează să fie lansat în curând, a existat o creștere cu 198% a atacurilor de phishing bazate pe browser în a doua jumătate a anului 2023, comparativ cu primele șase luni ale anului. Atacurile evazive – o categorie pe care Menlo o descrie ca folosind tehnici pentru a sustrage controalele tradiționale de securitate – au crescut și mai mult, cu 206% și au reprezentat 30% din toate atacurile bazate pe browser în a doua jumătate a anului 2023.

Pe o perioadă de 30 de zile, Menlo spune că a observat că peste 11,000 de așa-numitele atacuri de phishing bazate pe browser „zero-hour” eludează Secure Web Gateway și alte instrumente de detectare a amenințărilor.

„Browserul este aplicația de afaceri fără care întreprinderile nu pot trăi, dar a rămas în urmă din punct de vedere al securității și gestionabilității”, a spus Menlo în raportul viitor.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine