Napokkal a Google után az Apple felfedi a nulladik napot a böngészőmotorban

Az Apple kijavított egy aktívan kihasznált nulladik napi hibát a WebKit böngészőmotorjában a Safari számára.

A hiba, mint CVE-2024 23222-, ered a típuszavaros hiba, ami alapvetően akkor történik, amikor egy alkalmazás helytelenül feltételezi, hogy a kapott bemenet egy bizonyos típusú, anélkül, hogy ezt ténylegesen – vagy helytelenül – érvényesítené.

Aktívan kihasználva

Az Apple tegnap úgy jellemezte a sérülékenységet, mint amit a támadó kihasználhat tetszőleges kód futtatására az érintett rendszereken. "Az Apple tudatában van egy jelentésnek, amely szerint ezt a problémát kihasználhatták" - jegyezte meg a cég tanácsadója, anélkül, hogy további részleteket közölt volna.

A cég kiadta frissített verziók iOS, iPadOS, macOS, iPadOS és tvOS, további érvényesítési ellenőrzésekkel a sérülékenység megszüntetése érdekében.

A CVE-2024-23222 az első nulladik napi sebezhetőség, amelyet az Apple felfedett a WebKitben 2024-ben. Tavaly a vállalat összesen 11 nulladik napi hibát hozott nyilvánosságra a technológiában – a legtöbbet egyetlen naptári év alatt. 2021 óta az Apple összesen 22 WebKit nulladik napi hibát hozott nyilvánosságra, kiemelve a böngésző iránti növekvő érdeklődést mind a kutatók, mind a támadók részéről.

Ezzel párhuzamosan az Apple nyilvánosságra hozta az új WebKit nulladik napját követi a Google múlt heti közzétételét. nulladik nap a Chrome-ban. Ez legalább a harmadik alkalom az elmúlt hónapokban, amikor mindkét szállító közzétette a nulla napot a böngészőjében egymás közvetlen közelében. A tendencia azt sugallja, hogy a kutatók és a támadók szinte egyformán vizsgálják mindkét technológia hibáit, valószínűleg azért, mert a Chrome és a Safari is a legszélesebb körben használt böngészők.

A kémkedési fenyegetés

Az Apple nem hozta nyilvánosságra az újonnan nyilvánosságra hozott nulladik napi hibát célzó kihasználási tevékenység természetét. A kutatók azonban arról számoltak be, hogy a kereskedelmi kémprogram-szállítók visszaéltek a vállalat néhány újabb verziójával, hogy megfigyelő szoftvert dobjanak be a célszemélyek iPhone-jaira.

2023 szeptemberében a Torontói Egyetem Citizen Lab munkatársa figyelmeztette az Apple-t két kattintás nélküli nulladik napi sebezhetőség iOS rendszerben, amelyet egy megfigyelőszoftver-gyártó kihasználva dobott le a Predator spyware eszközt egy washingtoni székhelyű szervezet alkalmazottjának iPhone-jára. Ugyanebben a hónapban a Citizen Lab kutatói egy külön nulladik napi kihasználási láncról is beszámoltak – amely tartalmazott egy Safari hibát is –, amely iOS-eszközöket céloz meg.

A Google a közelmúltban néhány alkalommal hasonló aggályokat jelez a Chrome-ban, szinte párhuzamosan az Apple-lel. 2023 szeptemberében például, majdnem ugyanabban az időben, amikor az Apple nyilvánosságra hozta nulladik napi hibáit, a Google fenyegetéselemző csoportjának kutatói megállapították, hogy az Intellexa nevű kereskedelmi szoftvercég egy kihasználási láncot fejleszt ki – amely magában foglalta a Chrome nulladik napját (CVE-2023 4762-) – a Predator telepítése Android-eszközökre. Alig néhány nappal korábban a Google egy újabb nulladik napot hozott nyilvánosságra a Chrome-ban (CVE-2023 4863-) ugyanabban a képfeldolgozó könyvtárban, amelyben az Apple egy nulladik napot közölt.

Lionel Litty, a Menlo Security böngészőbiztonsági cég vezető biztonsági építésze szerint nehéz megmondani, hogy van-e kapcsolat a Google és az Apple 2024-es első böngésző nulladik napja között, tekintettel a jelenleg rendelkezésre álló korlátozott információkra. „A Chrome CVE a JavaScript-motorban volt (v8), a Safari pedig egy másik JavaScript-motort használ” – mondja Litty. "Azonban nem ritka, hogy a különböző megvalósításokban nagyon hasonló hibák vannak."

Litty szerint a támadók, ha találtak egy „puha pontot” az egyik böngészőben, más böngészőket is megvizsgálnak ugyanazon a területen. "Tehát, bár nem valószínű, hogy ez pontosan ugyanaz a sebezhetőség, nem lenne túl meglepő, ha a két in-the-wild exploit között megosztott DNS lenne."

Robbanás a nulla órás, böngésző alapú adathalász támadásokban

A felügyeleti szolgáltatók messze nem az egyetlenek, akik megpróbálják kihasználni a böngésző biztonsági réseit és általában a böngészőket. A Menlo Security hamarosan megjelenő jelentése szerint 198 második felében 2023%-kal nőtt a böngészőalapú adathalász támadások száma az év első hat hónapjához képest. Az elkerülő támadások – ez a kategória, amely Menlo szerint a hagyományos biztonsági ellenőrzések kijátszására szolgáló technikákat alkalmaz – még magasabbra, 206%-kal nőtt, és 30 második felében az összes böngészőalapú támadás 2023%-át tették ki.

A Menlo elmondása szerint 30 napos időszak alatt több mint 11,000 XNUMX úgynevezett „nulladik órás” böngészőalapú adathalász támadást figyeltek meg, amelyek elkerülték a Secure Web Gateway és más végponti fenyegetésészlelő eszközöket.

„A böngésző az az üzleti alkalmazás, amely nélkül a vállalatok nem tudnak élni, de biztonsági és felügyelhetőségi szempontból lemaradt” – mondta Menlo a hamarosan megjelenő jelentésben.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine