Apple ได้แก้ไขข้อบกพร่องแบบ Zero-day ที่ถูกใช้ประโยชน์อย่างแข็งขันในกลไกเบราว์เซอร์ WebKit สำหรับ Safari
จุดบกพร่องที่ได้รับมอบหมายให้เป็น CVE-2024-23222, เกิดจากก ข้อผิดพลาดความสับสนในการพิมพ์ซึ่งโดยพื้นฐานแล้วคือสิ่งที่เกิดขึ้นเมื่อแอปพลิเคชันสันนิษฐานว่าอินพุตที่ได้รับนั้นเป็นประเภทใดประเภทหนึ่งโดยไม่ได้ตรวจสอบจริงหรือตรวจสอบไม่ถูกต้อง ในกรณีนี้
ใช้ประโยชน์อย่างแข็งขัน
เมื่อวานนี้ Apple อธิบายช่องโหว่นี้ว่าเป็นสิ่งที่ผู้โจมตีสามารถใช้เพื่อเรียกใช้โค้ดที่กำหนดเองบนระบบที่ได้รับผลกระทบ “Apple ทราบถึงรายงานว่าปัญหานี้อาจถูกนำไปใช้ประโยชน์” คำแนะนำของบริษัทระบุ โดยไม่ได้ให้รายละเอียดเพิ่มเติมใดๆ
บริษัท ได้เปิดตัว รุ่นที่อัพเดท ของ iOS, iPadOS, macOS, iPadOS และ tvOS พร้อมการตรวจสอบความถูกต้องเพิ่มเติมเพื่อแก้ไขช่องโหว่
CVE-2024-23222 เป็นช่องโหว่แบบ Zero-day แรกที่ Apple เปิดเผยใน WebKit ในปี 2024 เมื่อปีที่แล้ว บริษัทได้เปิดเผยจุดบกพร่องแบบ Zero-day จำนวน 11 จุดในเทคโนโลยี ซึ่งมากที่สุดในรอบปีปฏิทินเดียว ตั้งแต่ปี 2021 เป็นต้นมา Apple ได้เปิดเผยข้อบกพร่องแบบ Zero-day ของ WebKit รวม 22 รายการ โดยเน้นถึงความสนใจที่เพิ่มขึ้นในเบราว์เซอร์จากทั้งนักวิจัยและผู้โจมตี
ในขณะเดียวกัน การเปิดเผย WebKit ใหม่แบบ Zero-day ของ Apple ตามมาด้วยการเปิดเผยของ Google เมื่อสัปดาห์ที่แล้ว ซีโร่เดย์ใน Chrome. นับเป็นครั้งที่สามเป็นอย่างน้อยในช่วงหลายเดือนที่ผ่านมาที่ผู้จำหน่ายทั้งสองรายเปิดเผยข้อมูลศูนย์วันในเบราว์เซอร์ของตนโดยอยู่ใกล้กัน แนวโน้มดังกล่าวชี้ให้เห็นว่านักวิจัยและผู้โจมตีกำลังตรวจสอบข้อบกพร่องในเทคโนโลยีทั้งสองเกือบเท่าๆ กัน เนื่องจากอาจเป็นเพราะ Chrome และ Safari ก็เป็นเบราว์เซอร์ที่ใช้กันอย่างแพร่หลายเช่นกัน
ภัยคุกคามจากการสอดแนม
Apple ยังไม่ได้เปิดเผยลักษณะของกิจกรรมการหาประโยชน์ที่มีเป้าหมายไปที่จุดบกพร่องแบบ Zero-day ที่เพิ่งเปิดเผย แต่นักวิจัยรายงานว่าพบผู้จำหน่ายสปายแวร์เชิงพาณิชย์ใช้งานซอฟต์แวร์ล่าสุดของบริษัทในทางที่ผิด โดยทิ้งซอฟต์แวร์เฝ้าระวังบน iPhone ของกลุ่มเป้าหมาย
ในเดือนกันยายน 2023 Citizen Lab ของมหาวิทยาลัยโตรอนโตได้เตือน Apple เกี่ยวกับ ช่องโหว่แบบ Zero-day แบบไม่คลิกจำนวน 2 รายการ ใน iOS ที่ผู้จำหน่ายซอฟต์แวร์เฝ้าระวังได้ใช้ประโยชน์จากการปล่อยเครื่องมือสปายแวร์ Predator บน iPhone ที่เป็นของพนักงานในองค์กรในกรุงวอชิงตัน ดี.ซี. ในเดือนเดียวกันนั้น นักวิจัยของ Citizen Lab ยังได้รายงานกลุ่มช่องโหว่แบบ Zero-day ซึ่งรวมถึงข้อบกพร่องของ Safari ด้วย พวกเขาค้นพบว่ากำหนดเป้าหมายไปที่อุปกรณ์ iOS
Google ได้แจ้งข้อกังวลที่คล้ายกันใน Chrome ซึ่งเกือบจะสอดคล้องกับ Apple ในบางโอกาสเมื่อเร็ว ๆ นี้ ตัวอย่างเช่น ในเดือนกันยายน 2023 ในช่วงเวลาใกล้เคียงกันที่ Apple เปิดเผยจุดบกพร่องแบบ Zero-day นักวิจัยจากกลุ่มวิเคราะห์ภัยคุกคามของ Google ระบุว่าบริษัทซอฟต์แวร์เชิงพาณิชย์ชื่อ Intellexa เป็นผู้พัฒนาห่วงโซ่ช่องโหว่ ซึ่งรวมถึง Chrome แบบ Zero-day (CVE-2023-4762) — เพื่อติดตั้ง Predator บนอุปกรณ์ Android เมื่อไม่กี่วันก่อนหน้านี้ Google ได้เปิดเผยอีกซีโรเดย์ใน Chrome (CVE-2023-4863) ในไลบรารีการประมวลผลรูปภาพเดียวกันกับที่ Apple เปิดเผยค่าซีโรเดย์
Lionel Litty หัวหน้าสถาปนิกด้านความปลอดภัยของบริษัทรักษาความปลอดภัยเบราว์เซอร์ Menlo Security กล่าวว่าเป็นการยากที่จะบอกว่ามีความเชื่อมโยงระหว่าง Google และเบราว์เซอร์ตัวแรกของ Apple แบบ Zero-Day ในปี 2024 หรือไม่ เนื่องจากปัจจุบันมีข้อมูลที่จำกัด “Chrome CVE อยู่ในเอ็นจิ้น JavaScript (v8) และ Safari ใช้เครื่องมือ JavaScript อื่น” Litty กล่าว “อย่างไรก็ตาม ไม่ใช่เรื่องแปลกที่การใช้งานที่แตกต่างกันจะมีข้อบกพร่องที่คล้ายคลึงกันมาก”
เมื่อผู้โจมตีพบจุดอ่อนในเบราว์เซอร์หนึ่งแล้ว พวกเขาก็จะตรวจสอบเบราว์เซอร์อื่นๆ ในพื้นที่เดียวกัน Litty กล่าว “ดังนั้น แม้ว่านี่จะไม่น่าเป็นไปได้ที่ช่องโหว่นี้จะเหมือนกันทุกประการ แต่ก็ไม่น่าแปลกใจนักหากมี DNA ที่ใช้ร่วมกันระหว่างช่องโหว่ทั้งสองที่เกิดขึ้นในป่า”
การระเบิดของการโจมตีแบบฟิชชิ่งผ่านเบราว์เซอร์แบบ Zero-Hour
ผู้จำหน่ายระบบกล้องวงจรปิดไม่ใช่เพียงกลุ่มเดียวที่พยายามใช้ประโยชน์จากช่องโหว่ของเบราว์เซอร์และเบราว์เซอร์โดยทั่วไป ตามรายงานที่จะเปิดตัวเร็วๆ นี้จาก Menlo Security พบว่ามีการโจมตีแบบฟิชชิ่งบนเบราว์เซอร์เพิ่มขึ้น 198% ในช่วงครึ่งหลังของปี 2023 เมื่อเทียบกับช่วงหกเดือนแรกของปี การโจมตีแบบหลบเลี่ยง - หมวดหมู่ที่ Menlo อธิบายว่าเป็นการใช้เทคนิคในการหลบเลี่ยงการควบคุมความปลอดภัยแบบเดิม - เพิ่มขึ้นถึง 206% และคิดเป็น 30% ของการโจมตีผ่านเบราว์เซอร์ทั้งหมดในช่วงครึ่งหลังของปี 2023
ตลอดระยะเวลา 30 วัน Menlo กล่าวว่าตรวจพบการโจมตีแบบฟิชชิ่งบนเบราว์เซอร์มากกว่า 11,000 ครั้งที่เรียกว่า "ศูนย์ชั่วโมง" ซึ่งหลบเลี่ยง Secure Web Gateway และเครื่องมือตรวจจับภัยคุกคามปลายทางอื่นๆ
“เบราว์เซอร์คือแอปพลิเคชันทางธุรกิจที่องค์กรต่างๆ ขาดไม่ได้ แต่มันก็ล้าหลังในแง่ของความปลอดภัยและการจัดการ” Menlo กล่าวในรายงานที่กำลังจะมีขึ้น
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 000
- 11
- 2021
- 2023
- 2024
- 22
- a
- เกี่ยวกับเรา
- การเหยียดหยาม
- ตาม
- คิด
- อย่างกระตือรือร้น
- อยากทำกิจกรรม
- จริง
- เพิ่มเติม
- ที่อยู่
- ที่ปรึกษา
- ได้รับผล
- หลังจาก
- ทั้งหมด
- เกือบจะ
- ด้วย
- an
- การวิเคราะห์
- และ
- หุ่นยนต์
- อื่น
- ใด
- Apple
- การใช้งาน
- เป็น
- AREA
- AS
- ที่ได้รับมอบหมาย
- ถือว่า
- At
- การโจมตี
- ใช้ได้
- ทราบ
- เป็นพื้น
- BE
- เพราะ
- รับ
- หลัง
- ซึ่งเป็นของ
- ระหว่าง
- ทั้งสอง
- เบราว์เซอร์
- เบราว์เซอร์
- Bug
- เป็นโรคจิต
- ธุรกิจ
- แต่
- by
- ปฏิทิน
- ที่เรียกว่า
- CAN
- กรณี
- หมวดหมู่
- บาง
- โซ่
- การตรวจสอบ
- หัวหน้า
- Chrome
- พลเมือง
- ปิดหน้านี้
- รหัส
- เชิงพาณิชย์
- บริษัท
- เมื่อเทียบกับ
- ความกังวลเกี่ยวกับ
- ความสับสน
- การเชื่อมต่อ
- การควบคุม
- ได้
- ขณะนี้
- คฟ
- วัน
- อธิบาย
- อธิบาย
- รายละเอียด
- การตรวจพบ
- ที่กำลังพัฒนา
- อุปกรณ์
- ต่าง
- การเปิดเผย
- ค้นพบ
- ดีเอ็นเอ
- หล่น
- แต่ละ
- ก่อน
- ลูกจ้าง
- ปลายทาง
- เครื่องยนต์
- ผู้ประกอบการ
- พอ ๆ กัน
- อีเธอร์ (ETH)
- หลบเลี่ยง
- แม้
- เคย
- ดำเนินการ
- เอาเปรียบ
- ใช้ประโยชน์
- การหาประโยชน์
- ลดลง
- ไกล
- สองสาม
- บริษัท
- ชื่อจริง
- ถูกตั้งค่าสถานะ
- ข้อบกพร่อง
- ดังต่อไปนี้
- สำหรับ
- พบ
- ราคาเริ่มต้นที่
- ต่อไป
- เกตเวย์
- General
- กำหนด
- บัญชีกลุ่ม
- การเจริญเติบโต
- ความสนใจเพิ่มขึ้น
- มี
- ครึ่ง
- ที่เกิดขึ้น
- ยาก
- มี
- สูงกว่า
- ไฮไลต์
- อย่างไรก็ตาม
- HTML
- HTTPS
- ระบุ
- if
- ภาพ
- การใช้งาน
- in
- รวม
- อย่างไม่ถูกต้อง
- เพิ่ม
- ข้อมูล
- อินพุต
- ติดตั้ง
- ตัวอย่าง
- อยากเรียนรู้
- iOS
- iPadOS
- iPhone
- ปัญหา
- IT
- ITS
- JavaScript
- jpg
- เพียงแค่
- ที่รู้จักกัน
- ห้องปฏิบัติการ
- ชื่อสกุล
- ปีที่แล้ว
- น้อยที่สุด
- ห้องสมุด
- น่าจะ
- ถูก จำกัด
- สด
- MacOS
- อาจ..
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ธรรมชาติ
- ใกล้
- ใหม่
- ใหม่
- NIST
- เด่น
- ตั้งข้อสังเกต
- โอกาส
- of
- การเสนอ
- on
- ONE
- คน
- เพียง
- or
- organizacja
- อื่นๆ
- Parallel
- ระยะเวลา
- มุมมอง
- ฟิชชิ่ง
- การโจมตีแบบฟิชชิ่ง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นักล่า
- การสอบสวน
- การประมวลผล
- ที่ได้รับ
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- การเผยแพร่
- รายงาน
- รายงาน
- นักวิจัย
- ว่า
- เผย
- s
- Safari
- กล่าวว่า
- เดียวกัน
- กล่าว
- พูดว่า
- ที่สอง
- ปลอดภัย
- ความปลอดภัย
- เห็น
- แยก
- กันยายน
- ที่ใช้ร่วมกัน
- คล้ายคลึงกัน
- ตั้งแต่
- เดียว
- หก
- หกเดือน
- So
- อ่อน
- ซอฟต์แวร์
- บาง
- บางสิ่งบางอย่าง
- จุด
- การสอดแนม
- สปายแวร์
- ลำต้น
- ชี้ให้เห็นถึง
- ปรับตัวเพิ่มขึ้น
- น่าแปลกใจ
- การเฝ้าระวัง
- ระบบ
- T
- ตามกันไป
- เป้า
- กำหนดเป้าหมาย
- เทคนิค
- เทคโนโลยี
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- ที่นั่น
- พวกเขา
- ที่สาม
- นี้
- การคุกคาม
- การตรวจจับภัยคุกคาม
- เวลา
- ไปยัง
- เกินไป
- เครื่องมือ
- เครื่องมือ
- โตรอน
- รวม
- แบบดั้งเดิม
- เทรนด์
- พยายาม
- สอง
- ชนิด
- ผิดปกติ
- มหาวิทยาลัย
- ไม่แน่
- ที่กำลังมา
- มือสอง
- ใช้
- การใช้
- กำลังตรวจสอบ
- การตรวจสอบ
- ผู้ขาย
- ผู้ขาย
- มาก
- ช่องโหว่
- ความอ่อนแอ
- เตือน
- คือ
- วอชิงตัน
- เว็บ
- เว็บคิท
- สัปดาห์
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- อย่างกว้างขวาง
- กับ
- ไม่มี
- จะ
- ปี
- เมื่อวาน
- ลมทะเล
- บั๊กซีโร่เดย์