Через несколько дней после Google Apple раскрывает использование нулевого дня в браузерном движке

Apple исправила активно используемую ошибку нулевого дня в своем браузерном движке WebKit для Safari.

Ошибка, обозначенная как CVE-2024-23222, происходит от ошибка путаницы типа, что, по сути, происходит, когда приложение ошибочно предполагает, что получаемые им входные данные относятся к определенному типу, не проверяя — или неправильно проверяя — это так.

Активно эксплуатируется

Вчера Apple описала эту уязвимость как нечто, что злоумышленник может использовать для выполнения произвольного кода в затронутых системах. «Apple известно о сообщении о том, что эта проблема могла быть использована», — отмечается в сообщении компании, не раскрывая никаких дополнительных подробностей.

Компания выпустила обновленные версии iOS, iPadOS, macOS, iPadOS и tvOS с дополнительными проверками для устранения уязвимости.

CVE-2024-23222 — первая уязвимость нулевого дня, которую Apple обнаружила в WebKit в 2024 году. В прошлом году компания раскрыла в общей сложности 11 ошибок нулевого дня в этой технологии — это самый высокий показатель за один календарный год. С 2021 года Apple выявила в общей сложности 22 ошибки нулевого дня в WebKit, что подчеркивает растущий интерес к браузеру как со стороны исследователей, так и злоумышленников.

Параллельно с этим сообщение Apple о новом нулевом дне WebKit последовало за раскрытием Google на прошлой неделе информации о нулевой день в Chrome. Это как минимум третий раз за последние месяцы, когда оба поставщика раскрывают нулевой день в своих браузерах в непосредственной близости друг от друга. Эта тенденция предполагает, что исследователи и злоумышленники почти одинаково исследуют недостатки обеих технологий, вероятно, потому, что Chrome и Safari также являются наиболее широко используемыми браузерами.

Шпионская угроза

Apple не раскрыла характер эксплойтов, нацеленных на недавно обнаруженную ошибку нулевого дня. Но исследователи сообщают, что видели, как коммерческие поставщики шпионского ПО злоупотребляли некоторыми из последних разработок компании, чтобы установить программное обеспечение для наблюдения на iPhone целевых субъектов.

В сентябре 2023 года Гражданская лаборатория Университета Торонто предупредила Apple о две уязвимости нулевого дня, не требующие щелчка в iOS, который поставщик программного обеспечения для наблюдения использовал, чтобы установить шпионскую программу Predator на iPhone, принадлежащий сотруднику организации в Вашингтоне, округ Колумбия. В том же месяце исследователи Citizen Lab также сообщили об отдельной цепочке эксплойтов нулевого дня, включающей ошибку Safari, которую они обнаружили, нацеленной на устройства iOS.

Google в последнее время несколько раз отмечал аналогичные проблемы в Chrome, почти одновременно с Apple. Например, в сентябре 2023 года, почти в то же время, когда Apple раскрыла свои ошибки нулевого дня, исследователи из группы анализа угроз Google определили, что компания Intellexa, занимающаяся коммерческим программным обеспечением, разрабатывает цепочку эксплойтов, которая включала в себя уязвимость нулевого дня для Chrome (CVE-2023-4762) — для установки Predator на устройства Android. Всего несколькими днями ранее Google сообщил об еще одном нулевом дне в Chrome (CVE-2023-4863) в той же библиотеке обработки изображений, в которой Apple раскрыла информацию о нулевом дне.

Лайонел Литти, главный архитектор безопасности в компании Menlo Security, занимающейся безопасностью браузеров, говорит, что трудно сказать, есть ли какая-либо связь между Google и первыми браузерами нулевого дня Apple в 2024 году, учитывая ограниченность доступной в настоящее время информации. «CVE Chrome использовался на движке JavaScript (v8), а Safari использует другой движок JavaScript», — говорит Литти. «Однако разные реализации нередко имеют очень похожие недостатки».

По словам Литти, как только злоумышленники обнаруживают слабое место в одном браузере, они также начинают проверять другие браузеры в той же области. «Поэтому, хотя маловероятно, что это одна и та же уязвимость, было бы неудивительно, если бы между двумя реальными эксплойтами была какая-то общая ДНК».

Взрывной рост числа фишинговых атак через браузер в нулевой час

Поставщики систем видеонаблюдения далеко не единственные, кто пытается использовать уязвимости браузеров и браузеров в целом. Согласно отчету Menlo Security, который скоро будет опубликован, во второй половине 198 года количество фишинговых атак через браузер выросло на 2023% по сравнению с первыми шестью месяцами года. Уклоняющиеся атаки — категория, которую Менло описывает как использование методов обхода традиционных мер безопасности — возросли еще больше, на 206%, и составили 30% всех атак через браузер во второй половине 2023 года.

По словам Menlo, за 30-дневный период было зафиксировано более 11,000 XNUMX так называемых «нулевых» фишинговых атак на основе браузера, которые обходили Secure Web Gateway и другие инструменты обнаружения угроз на конечных точках.

«Браузер — это бизнес-приложение, без которого предприятия не могут жить, но он отстает с точки зрения безопасности и управляемости», — сказал Менло в предстоящем отчете.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine