Apple виправила активно використовувану помилку нульового дня у своєму браузері WebKit для Safari.
Помилка, призначена як CVE-2024-23222, походить від a помилка плутанини типу, що в основному відбувається, коли програма неправильно припускає, що вхідні дані, які вона отримує, має певний тип без фактичної перевірки — або неправильної перевірки — це має бути так.
Активно експлуатується
Apple вчора описала вразливість як те, що зловмисник може використати для виконання довільного коду в уражених системах. «Apple відомо про звіт про те, що ця проблема могла бути використана», — зазначено в повідомленні компанії, не надаючи жодних додаткових подробиць.
Компанія випустила оновлені версії iOS, iPadOS, macOS, iPadOS і tvOS з додатковими перевірками для усунення вразливості.
CVE-2024-23222 — це перша вразливість нульового дня, яку Apple розкрила в WebKit у 2024 році. Минулого року компанія оприлюднила загалом 11 помилок нульового дня в цій технології — найбільше за один календарний рік. З 2021 року Apple виявила загалом 22 помилки нульового дня WebKit, підкреслюючи зростаючий інтерес до браузера як з боку дослідників, так і зловмисників.
Паралельно розкриття Apple нового WebKit зеро-дня слідує за оприлюдненням Google минулого тижня нульовий день у Chrome. Це принаймні третій випадок за останні місяці, коли обидва постачальники розкривають нульові дні у своїх відповідних браузерах у безпосередній близькості один від одного. Ця тенденція свідчить про те, що дослідники та зловмисники майже однаково шукають недоліки в обох технологіях, ймовірно тому, що Chrome і Safari також є найпоширенішими браузерами.
Загроза шпигунства
Apple не розкрила характер експлойтів, спрямованих на нещодавно виявлену помилку нульового дня. Але дослідники повідомили, що постачальники комерційних шпигунських програм зловживали деякими з останніх програм компанії, щоб скинути програмне забезпечення для стеження на iPhone цільових суб’єктів.
У вересні 2023 року Citizen Lab Університету Торонто попередила Apple про дві вразливості нульового дня без клацання в iOS, який постачальник програмного забезпечення для стеження використав, щоб скинути шпигунське програмне забезпечення Predator на iPhone, що належить співробітнику організації, розташованої у Вашингтоні, округ Колумбія. Того ж місяця дослідники Citizen Lab також повідомили про окремий ланцюжок експлойтів нульового дня, який включав помилку Safari, яку вони виявили для пристроїв iOS.
Google нещодавно кілька разів позначав подібні проблеми в Chrome, майже в тандемі з Apple. Наприклад, у вересні 2023 року, майже в той самий час, коли Apple оприлюднила свої помилки нульового дня, дослідники з групи аналізу загроз Google виявили компанію комерційного програмного забезпечення під назвою Intellexa, яка розробляє ланцюжок експлойтів, який включав Chrome нульового дня (CVE-2023-4762) — щоб встановити Predator на пристрої Android. Буквально за кілька днів до цього Google оприлюднив ще один нульовий день у Chrome (CVE-2023-4863) у тій же бібліотеці обробки зображень, у якій Apple розкрила нульовий день.
Лайонел Літті, головний архітектор із безпеки у фірмі з безпеки браузерів Menlo Security, каже, що важко сказати, чи є якийсь зв’язок між Google і першим браузером Apple у 2024 році з нульовими днями, враховуючи обмежену доступну інформацію. «CVE Chrome був у механізмі JavaScript (v8), а Safari використовує інший механізм JavaScript», — каже Літті. «Однак нерідко різні реалізації мають дуже схожі недоліки».
Коли зловмисники знайшли слабке місце в одному браузері, вони також, як відомо, досліджують інші браузери в тій же області, каже Літті. «Тож, хоча малоймовірно, що це та сама вразливість, не було б надто дивно, якби між двома експлойтами в дикій природі існувала якась спільна ДНК».
Вибух у фішингових атаках на основі веб-переглядача Zero-Hour
Постачальники засобів спостереження далеко не єдині, хто намагається використовувати вразливості браузерів і браузерів загалом. Відповідно до звіту Menlo Security, який незабаром буде опублікований, у другій половині 198 року кількість фішингових атак у браузері зросла на 2023% порівняно з першими шістьма місяцями року. Обхідні атаки — категорія, яку Менло описує як використання методів ухилення від традиційних заходів безпеки — зросли ще більше, на 206% і становили 30% усіх атак через браузер у другій половині 2023 року.
За 30-денний період Менло заявляє, що спостерігав понад 11,000 XNUMX так званих «нульових» фішингових атак на основі браузера, які обходили Secure Web Gateway та інші інструменти виявлення загроз для кінцевих точок.
«Браузер — це бізнес-додаток, без якого підприємства не можуть жити, але він відстає з точки зору безпеки та керованості», — сказав Менло в майбутньому звіті.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- : має
- :є
- : ні
- :де
- 000
- 11
- 2021
- 2023
- 2024
- 22
- a
- МЕНЮ
- зловживання
- За
- звітності
- активно
- діяльність
- насправді
- Додатковий
- адреса
- консультативний
- постраждалих
- після
- ВСІ
- майже
- Також
- an
- аналіз
- та
- чоловіча
- Інший
- будь-який
- Apple
- додаток
- ЕСТЬ
- ПЛОЩА
- AS
- призначений
- передбачає
- At
- нападки
- доступний
- знати
- В основному
- BE
- оскільки
- було
- за
- належність
- між
- обидва
- браузер
- браузери
- Помилка
- помилки
- бізнес
- але
- by
- Календар
- званий
- CAN
- випадок
- Категорія
- певний
- ланцюг
- Перевірки
- головний
- Chrome
- громадянин
- близько
- код
- комерційний
- компанія
- порівняний
- Турбота
- замішання
- зв'язку
- управління
- може
- В даний час
- cve
- Днів
- описаний
- описує
- деталі
- Виявлення
- розвивається
- прилади
- різний
- розкриття
- відкритий
- ДНК
- Падіння
- кожен
- Раніше
- Співробітник
- Кінцева точка
- двигун
- підприємств
- однаково
- Ефір (ETH)
- Втеча
- Навіть
- НІКОЛИ
- виконувати
- Експлуатувати
- експлуатований
- подвигів
- Fallen
- далеко
- кілька
- Фірма
- Перший
- позначений прапором
- недоліки
- слідує
- для
- знайдений
- від
- далі
- шлюз
- Загальне
- даний
- Group
- Зростання
- зростаючий інтерес
- було
- Половина
- відбувається
- Жорсткий
- Мати
- вище
- виділивши
- Однак
- HTML
- HTTPS
- ідентифікований
- if
- зображення
- реалізації
- in
- включені
- невірно
- Augmenter
- інформація
- вхід
- встановлювати
- екземпляр
- інтерес
- iOS
- iPadOS
- iPhone
- питання
- IT
- ЙОГО
- JavaScript
- JPG
- просто
- відомий
- lab
- останній
- Минулого року
- найменш
- бібліотека
- Ймовірно
- обмеженою
- жити
- MacOS
- Може..
- місяць
- місяців
- більше
- найбільш
- природа
- Близько
- Нові
- нещодавно
- nist
- зазначив,
- спостерігається
- раз
- of
- пропонує
- on
- ONE
- ті,
- тільки
- or
- організація
- Інше
- Паралельні
- period
- перспектива
- phishing
- фішинг-атаки
- plato
- Інформація про дані Платона
- PlatoData
- хижак
- зонд
- обробка
- отримує
- останній
- нещодавно
- випущений
- звітом
- Повідомляється
- Дослідники
- ті
- Виявляє
- s
- Safari
- Зазначений
- то ж
- say
- говорить
- другий
- безпечний
- безпеку
- бачачи
- окремий
- Вересень
- загальні
- аналогічний
- з
- один
- SIX
- Шість місяців
- So
- М'який
- Софтвер
- деякі
- що в сім'ї щось
- Spot
- шпигунство
- шпигунських програм
- стебла
- Запропонує
- хлинули
- дивно
- спостереження
- Systems
- T
- Тандем
- Мета
- націлювання
- методи
- Технології
- Технологія
- ніж
- Що
- Команда
- їх
- Там.
- вони
- третій
- це
- загроза
- виявлення загрози
- час
- до
- занадто
- інструмент
- інструменти
- Торонто
- Усього:
- традиційний
- Trend
- намагається
- два
- тип
- Uncommon
- університет
- навряд чи
- Майбутні
- використовуваний
- використовує
- використання
- перевірка
- перевірка достовірності
- продавець
- постачальники
- дуже
- Уразливості
- вразливість
- попередили
- було
- Вашингтон
- Web
- веб-комплект
- week
- Що
- коли
- який
- в той час як
- широко
- з
- без
- хіба що
- рік
- вчора
- зефірнет
- помилка нульового дня