Apple har rettet en aktivt udnyttet zero-day-fejl i sin WebKit-browsermotor til Safari.
Fejlen, tildelt som CVE-2024-23222, stammer fra en typeforvirringsfejl, hvilket dybest set er, hvad der sker, når en applikation fejlagtigt antager, at det input, den modtager, er af en bestemt type uden faktisk at validere - eller forkert validere - at det er tilfældet.
Aktivt udnyttet
Apple beskrev i går sårbarheden som noget, en angriber kunne udnytte til at udføre vilkårlig kode på berørte systemer. "Apple er bekendt med en rapport om, at dette problem kan være blevet udnyttet," bemærkede virksomhedens rådgiver uden at give yderligere detaljer.
Virksomheden har frigivet opdaterede versioner af iOS, iPadOS, macOS, iPadOS og tvOS med yderligere valideringstjek for at afhjælpe sårbarheden.
CVE-2024-23222 er den første nul-dages-sårbarhed, som Apple har afsløret i WebKit i 2024. Sidste år afslørede virksomheden i alt 11 nul-dage-fejl i teknologien - den største nogensinde i et enkelt kalenderår. Siden 2021 har Apple afsløret i alt 22 WebKit zero-day-fejl, hvilket fremhæver den voksende interesse for browseren fra både forskere og angribere.
Parallelt hermed følger Apples offentliggørelse af det nye WebKit zero-day på Googles offentliggørelse i sidste uge af en nul-dag i Chrome. Det er mindst tredje gang i de seneste måneder, hvor begge leverandører har afsløret nul-dage i deres respektive browsere tæt på hinanden. Tendensen tyder på, at forskere og angribere søger næsten lige meget efter fejl i begge teknologier, sandsynligvis fordi Chrome og Safari også er de mest udbredte browsere.
Spionagetruslen
Apple har ikke afsløret arten af udnyttelsesaktiviteten rettet mod den nyligt afslørede nul-dages fejl. Men forskere har rapporteret, at de har set kommercielle spyware-leverandører, der misbruger nogle af virksomhedens nyere, til at droppe overvågningssoftware på iPhones af målpersoner.
I september 2023 advarede Toronto Universitys Citizen Lab Apple om to nul-dages sårbarheder uden klik i iOS, som en leverandør af overvågningssoftware havde udnyttet til at droppe Predator-spywareværktøjet på en iPhone tilhørende en medarbejder i en Washington, DC-baseret organisation. Samme måned rapporterede Citizen Lab-forskere også om en separat nul-dages udnyttelseskæde - som inkluderede en Safari-fejl - de havde opdaget målretning mod iOS-enheder.
Google har markeret lignende bekymringer i Chrome, næsten i takt med Apple, ved et par lejligheder for nylig. I september 2023, for eksempel, næsten samtidig med, at Apple afslørede sine nul-dage-fejl, identificerede forskere fra Googles trusselsanalysegruppe et kommercielt softwarefirma kaldet Intellexa, som udviklede en udnyttelseskæde - som inkluderede en Chrome zero-day (CVE-2023-4762) — for at installere Predator på Android-enheder. Bare et par dage tidligere havde Google afsløret endnu en nul-dag i Chrome (CVE-2023-4863) i det samme billedbehandlingsbibliotek, hvor Apple havde afsløret en nul-dag.
Lionel Litty, chefsikkerhedsarkitekt hos browsersikkerhedsfirmaet Menlo Security, siger, at det er svært at sige, om der er nogen forbindelse mellem Google og Apples første browser zero-days for 2024, givet den begrænsede information, der er tilgængelig i øjeblikket. "Chrome CVE var i JavaScript-motoren (v8), og Safari bruger en anden JavaScript-motor," siger Litty. "Det er dog ikke ualmindeligt, at forskellige implementeringer har meget ens fejl."
Når først angribere har fundet et blødt punkt i én browser, er de også kendt for at undersøge andre browsere i samme område, siger Litty. "Så selvom det er usandsynligt, at dette er nøjagtig den samme sårbarhed, ville det ikke være for overraskende, hvis der var noget delt DNA mellem de to in-the-wild udnyttelser."
Eksplosion i Zero-Hour Browser-baserede Phishing-angreb
Overvågningsleverandører er langtfra de eneste, der forsøger at udnytte browsersårbarheder og browsere generelt. Ifølge en snart udgivet rapport fra Menlo Security var der en stigning på 198 % i browserbaserede phishing-angreb i anden halvdel af 2023 sammenlignet med årets første seks måneder. Undvigende angreb – en kategori, som Menlo beskriver som ved at bruge teknikker til at omgå traditionelle sikkerhedskontroller – steg endnu højere, med 206 %, og tegnede sig for 30 % af alle browserbaserede angreb i anden halvdel af 2023.
Over en 30-dages periode, siger Menlo, at det har observeret mere end 11,000 såkaldte "zero-hour" browser-baserede phishing-angreb, der unddrager sig Secure Web Gateway og andre endpoint-trusselsdetektionsværktøjer.
"Browseren er den forretningsapplikation, som virksomheder ikke kan leve uden, men den er kommet bagud fra et sikkerheds- og administrationsperspektiv," sagde Menlo i den kommende rapport.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :har
- :er
- :ikke
- :hvor
- 000
- 11
- 2021
- 2023
- 2024
- 22
- 7
- a
- Om
- Ifølge
- tegnede
- aktivt
- aktivitet
- faktisk
- Yderligere
- adresse
- rådgivende
- påvirket
- Efter
- Alle
- næsten
- også
- an
- analyse
- ,
- android
- En anden
- enhver
- Apple
- Anvendelse
- ER
- OMRÅDE
- AS
- tildelt
- antager
- At
- Angreb
- til rådighed
- opmærksom på
- I bund og grund
- BE
- fordi
- været
- bag
- tilhører
- mellem
- både
- browser
- browsere
- Bug
- bugs
- virksomhed
- men
- by
- Kalender
- kaldet
- CAN
- tilfælde
- Boligtype
- vis
- kæde
- Kontrol
- chef
- Chrome
- borger
- Luk
- kode
- kommerciel
- selskab
- sammenlignet
- Bekymringer
- forvirring
- tilslutning
- kontrol
- kunne
- For øjeblikket
- CVE
- Dage
- beskrevet
- beskriver
- detaljer
- Detektion
- udvikling
- Enheder
- forskellige
- videregivelse
- opdaget
- dna
- Drop
- hver
- tidligere
- Medarbejder
- Endpoint
- Engine (Motor)
- virksomheder
- lige
- Unddrage
- Endog
- NOGENSINDE
- udføre
- Exploit
- Exploited
- exploits
- Fallen
- langt
- få
- Firm
- Fornavn
- Markeret
- fejl
- følger
- Til
- fundet
- fra
- yderligere
- gateway
- Generelt
- given
- gruppe
- Dyrkning
- stigende interesse
- havde
- Halvdelen
- sker
- Hård Ost
- Have
- højere
- fremhæve
- Men
- HTML
- HTTPS
- identificeret
- if
- billede
- implementeringer
- in
- medtaget
- forkert
- Forøg
- oplysninger
- indgang
- installere
- instans
- interesse
- iOS
- iPad
- iPhone
- spørgsmål
- IT
- ITS
- JavaScript
- jpg
- lige
- kendt
- lab
- Efternavn
- Sidste år
- mindst
- Bibliotek
- Sandsynlig
- Limited
- leve
- MacOS
- Kan..
- Måned
- måned
- mere
- mest
- Natur
- I nærheden af
- Ny
- nyligt
- NIST
- bemærkede
- lejligheder
- of
- tilbyde
- on
- ONE
- dem
- kun
- or
- organisation
- Andet
- Parallel
- periode
- perspektiv
- Phishing
- phishing-angreb
- plato
- Platon Data Intelligence
- PlatoData
- sonde
- forarbejdning
- modtager
- nylige
- for nylig
- frigivet
- indberette
- rapporteret
- forskere
- dem
- afslører
- s
- Safari
- Said
- samme
- siger
- siger
- Anden
- sikker
- sikkerhed
- se
- adskille
- september
- delt
- lignende
- siden
- enkelt
- SIX
- Seks måneder
- So
- Soft
- Software
- nogle
- noget
- Spot
- spionage
- spyware
- stængler
- foreslår
- steg
- overraskende
- overvågning
- Systemer
- Tandem
- mål
- rettet mod
- teknikker
- Teknologier
- Teknologier
- end
- at
- deres
- Der.
- de
- Tredje
- denne
- trussel
- tid
- til
- også
- værktøj
- værktøjer
- toronto
- I alt
- traditionelle
- Trend
- forsøger
- to
- typen
- Ualmindelig
- universitet
- usandsynligt
- kommende
- anvendte
- bruger
- ved brug af
- validering
- validering
- sælger
- leverandører
- meget
- Sårbarheder
- sårbarhed
- advarede
- var
- washington
- web
- web kit
- uge
- Hvad
- hvornår
- som
- mens
- bredt
- med
- uden
- ville ikke
- år
- i går
- zephyrnet
- nul-dages fejl
