Apple исправила активно используемую ошибку нулевого дня в своем браузерном движке WebKit для Safari.
Ошибка, обозначенная как CVE-2024-23222, происходит от ошибка путаницы типа, что, по сути, происходит, когда приложение ошибочно предполагает, что получаемые им входные данные относятся к определенному типу, не проверяя — или неправильно проверяя — это так.
Активно эксплуатируется
Вчера Apple описала эту уязвимость как нечто, что злоумышленник может использовать для выполнения произвольного кода в затронутых системах. «Apple известно о сообщении о том, что эта проблема могла быть использована», — отмечается в сообщении компании, не раскрывая никаких дополнительных подробностей.
Компания выпустила обновленные версии iOS, iPadOS, macOS, iPadOS и tvOS с дополнительными проверками для устранения уязвимости.
CVE-2024-23222 — первая уязвимость нулевого дня, которую Apple обнаружила в WebKit в 2024 году. В прошлом году компания раскрыла в общей сложности 11 ошибок нулевого дня в этой технологии — это самый высокий показатель за один календарный год. С 2021 года Apple выявила в общей сложности 22 ошибки нулевого дня в WebKit, что подчеркивает растущий интерес к браузеру как со стороны исследователей, так и злоумышленников.
Параллельно с этим сообщение Apple о новом нулевом дне WebKit последовало за раскрытием Google на прошлой неделе информации о нулевой день в Chrome. Это как минимум третий раз за последние месяцы, когда оба поставщика раскрывают нулевой день в своих браузерах в непосредственной близости друг от друга. Эта тенденция предполагает, что исследователи и злоумышленники почти одинаково исследуют недостатки обеих технологий, вероятно, потому, что Chrome и Safari также являются наиболее широко используемыми браузерами.
Шпионская угроза
Apple не раскрыла характер эксплойтов, нацеленных на недавно обнаруженную ошибку нулевого дня. Но исследователи сообщают, что видели, как коммерческие поставщики шпионского ПО злоупотребляли некоторыми из последних разработок компании, чтобы установить программное обеспечение для наблюдения на iPhone целевых субъектов.
В сентябре 2023 года Гражданская лаборатория Университета Торонто предупредила Apple о две уязвимости нулевого дня, не требующие щелчка в iOS, который поставщик программного обеспечения для наблюдения использовал, чтобы установить шпионскую программу Predator на iPhone, принадлежащий сотруднику организации в Вашингтоне, округ Колумбия. В том же месяце исследователи Citizen Lab также сообщили об отдельной цепочке эксплойтов нулевого дня, включающей ошибку Safari, которую они обнаружили, нацеленной на устройства iOS.
Google в последнее время несколько раз отмечал аналогичные проблемы в Chrome, почти одновременно с Apple. Например, в сентябре 2023 года, почти в то же время, когда Apple раскрыла свои ошибки нулевого дня, исследователи из группы анализа угроз Google определили, что компания Intellexa, занимающаяся коммерческим программным обеспечением, разрабатывает цепочку эксплойтов, которая включала в себя уязвимость нулевого дня для Chrome (CVE-2023-4762) — для установки Predator на устройства Android. Всего несколькими днями ранее Google сообщил об еще одном нулевом дне в Chrome (CVE-2023-4863) в той же библиотеке обработки изображений, в которой Apple раскрыла информацию о нулевом дне.
Лайонел Литти, главный архитектор безопасности в компании Menlo Security, занимающейся безопасностью браузеров, говорит, что трудно сказать, есть ли какая-либо связь между Google и первыми браузерами нулевого дня Apple в 2024 году, учитывая ограниченность доступной в настоящее время информации. «CVE Chrome использовался на движке JavaScript (v8), а Safari использует другой движок JavaScript», — говорит Литти. «Однако разные реализации нередко имеют очень похожие недостатки».
По словам Литти, как только злоумышленники обнаруживают слабое место в одном браузере, они также начинают проверять другие браузеры в той же области. «Поэтому, хотя маловероятно, что это одна и та же уязвимость, было бы неудивительно, если бы между двумя реальными эксплойтами была какая-то общая ДНК».
Взрывной рост числа фишинговых атак через браузер в нулевой час
Поставщики систем видеонаблюдения далеко не единственные, кто пытается использовать уязвимости браузеров и браузеров в целом. Согласно отчету Menlo Security, который скоро будет опубликован, во второй половине 198 года количество фишинговых атак через браузер выросло на 2023% по сравнению с первыми шестью месяцами года. Уклоняющиеся атаки — категория, которую Менло описывает как использование методов обхода традиционных мер безопасности — возросли еще больше, на 206%, и составили 30% всех атак через браузер во второй половине 2023 года.
По словам Menlo, за 30-дневный период было зафиксировано более 11,000 XNUMX так называемых «нулевых» фишинговых атак на основе браузера, которые обходили Secure Web Gateway и другие инструменты обнаружения угроз на конечных точках.
«Браузер — это бизнес-приложение, без которого предприятия не могут жить, но он отстает с точки зрения безопасности и управляемости», — сказал Менло в предстоящем отчете.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :имеет
- :является
- :нет
- :куда
- 000
- 11
- 2021
- 2023
- 2024
- 22
- a
- О нас
- злоупотребляющих
- По
- составили
- активно
- деятельность
- на самом деле
- дополнительный
- адрес
- консультативный
- пострадавших
- После
- Все
- почти
- причислены
- an
- анализ
- и
- android
- Другой
- любой
- Apple
- Применение
- МЫ
- ПЛОЩАДЬ
- AS
- назначенный
- предполагает,
- At
- нападки
- доступен
- знать
- в основном
- BE
- , так как:
- было
- за
- принадлежащий
- между
- изоферменты печени
- браузер
- браузеры
- Ошибка
- ошибки
- бизнес
- но
- by
- Календарь
- под названием
- CAN
- случаев
- Категории
- определенный
- цепь
- Проверки
- главный
- Chrome
- гражданин
- Закрыть
- код
- коммерческая
- Компания
- сравненный
- Обеспокоенность
- замешательство
- связи
- контрольная
- может
- В настоящее время
- CVE
- Дней
- описано
- описывает
- подробнее
- обнаружение
- развивающийся
- Устройства
- различный
- раскрытие
- открытый
- Г-жа
- Падение
- каждый
- Ранее
- Сотрудник
- Конечная точка
- Двигатель
- предприятий
- одинаково
- Эфир (ETH)
- Evade
- Даже
- НИКОГДА
- выполнять
- Эксплуатировать
- Эксплуатируемый
- использует
- Fallen
- далеко
- несколько
- Фирма
- First
- Помеченные
- недостатки
- следующим образом
- Что касается
- найденный
- от
- далее
- шлюз
- Общие
- данный
- группы
- Рост
- растущий интерес
- было
- Половина
- происходит
- Жесткий
- Есть
- высший
- выделив
- Однако
- HTML
- HTTPS
- идентифицированный
- if
- изображение
- реализации
- in
- включены
- неверно
- Увеличение
- информация
- вход
- устанавливать
- пример
- интерес
- iOS
- iPadOS
- iPhone
- вопрос
- IT
- ЕГО
- JavaScript
- JPG
- всего
- известный
- лаборатория
- Фамилия
- В прошлом году
- наименее
- Библиотека
- Вероятно
- Ограниченный
- жить
- MacOS
- Май..
- Месяц
- месяцев
- БОЛЕЕ
- самых
- природа
- Возле
- Новые
- вновь
- NIST
- отметил,
- наблюдается
- раз
- of
- предлагающий
- on
- ONE
- те,
- только
- or
- организация
- Другое
- Параллельные
- период
- перспектива
- фишинг
- фишинговые атаки
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- хищник
- зонд
- обработка
- получает
- последний
- недавно
- выпустил
- отчету
- Сообщается
- исследователи
- те
- Показывает
- s
- Safari
- Сказал
- то же
- сообщили
- говорит
- Во-вторых
- безопасный
- безопасность
- видя
- отдельный
- сентябрь
- общие
- аналогичный
- с
- одинарной
- ШЕСТЬ
- Шесть месяцев
- So
- мягкая
- Software
- некоторые
- удалось
- Спотовая торговля
- шпионаж
- шпионских программ
- стебли
- Предлагает
- хлынули
- удивительный
- наблюдение
- системы
- T
- Тандем
- цель
- направлены
- снижения вреда
- технологии
- Технологии
- чем
- который
- Ассоциация
- их
- Там.
- они
- В третьих
- этой
- угроза
- обнаружение угрозы
- время
- в
- слишком
- инструментом
- инструменты
- Торонто
- Всего
- традиционный
- тенденция
- пытается
- два
- напишите
- Обычный
- Университет
- вряд ли
- Предстоящие
- используемый
- использования
- через
- проверки
- Проверка
- продавец
- поставщики
- очень
- Уязвимости
- уязвимость
- предупреждал
- законопроект
- Вашингтон
- Web
- вебкит
- неделя
- Что
- когда
- который
- в то время как
- широко
- без
- Wouldn
- год
- вчера
- зефирнет
- ошибка нулевого дня