Az Apple kijavított egy aktívan kihasznált nulladik napi hibát a WebKit böngészőmotorjában a Safari számára.
A hiba, mint CVE-2024 23222-, ered a típuszavaros hiba, ami alapvetően akkor történik, amikor egy alkalmazás helytelenül feltételezi, hogy a kapott bemenet egy bizonyos típusú, anélkül, hogy ezt ténylegesen – vagy helytelenül – érvényesítené.
Aktívan kihasználva
Az Apple tegnap úgy jellemezte a sérülékenységet, mint amit a támadó kihasználhat tetszőleges kód futtatására az érintett rendszereken. "Az Apple tudatában van egy jelentésnek, amely szerint ezt a problémát kihasználhatták" - jegyezte meg a cég tanácsadója, anélkül, hogy további részleteket közölt volna.
A cég kiadta frissített verziók iOS, iPadOS, macOS, iPadOS és tvOS, további érvényesítési ellenőrzésekkel a sérülékenység megszüntetése érdekében.
A CVE-2024-23222 az első nulladik napi sebezhetőség, amelyet az Apple felfedett a WebKitben 2024-ben. Tavaly a vállalat összesen 11 nulladik napi hibát hozott nyilvánosságra a technológiában – a legtöbbet egyetlen naptári év alatt. 2021 óta az Apple összesen 22 WebKit nulladik napi hibát hozott nyilvánosságra, kiemelve a böngésző iránti növekvő érdeklődést mind a kutatók, mind a támadók részéről.
Ezzel párhuzamosan az Apple nyilvánosságra hozta az új WebKit nulladik napját követi a Google múlt heti közzétételét. nulladik nap a Chrome-ban. Ez legalább a harmadik alkalom az elmúlt hónapokban, amikor mindkét szállító közzétette a nulla napot a böngészőjében egymás közvetlen közelében. A tendencia azt sugallja, hogy a kutatók és a támadók szinte egyformán vizsgálják mindkét technológia hibáit, valószínűleg azért, mert a Chrome és a Safari is a legszélesebb körben használt böngészők.
A kémkedési fenyegetés
Az Apple nem hozta nyilvánosságra az újonnan nyilvánosságra hozott nulladik napi hibát célzó kihasználási tevékenység természetét. A kutatók azonban arról számoltak be, hogy a kereskedelmi kémprogram-szállítók visszaéltek a vállalat néhány újabb verziójával, hogy megfigyelő szoftvert dobjanak be a célszemélyek iPhone-jaira.
2023 szeptemberében a Torontói Egyetem Citizen Lab munkatársa figyelmeztette az Apple-t két kattintás nélküli nulladik napi sebezhetőség iOS rendszerben, amelyet egy megfigyelőszoftver-gyártó kihasználva dobott le a Predator spyware eszközt egy washingtoni székhelyű szervezet alkalmazottjának iPhone-jára. Ugyanebben a hónapban a Citizen Lab kutatói egy külön nulladik napi kihasználási láncról is beszámoltak – amely tartalmazott egy Safari hibát is –, amely iOS-eszközöket céloz meg.
A Google a közelmúltban néhány alkalommal hasonló aggályokat jelez a Chrome-ban, szinte párhuzamosan az Apple-lel. 2023 szeptemberében például, majdnem ugyanabban az időben, amikor az Apple nyilvánosságra hozta nulladik napi hibáit, a Google fenyegetéselemző csoportjának kutatói megállapították, hogy az Intellexa nevű kereskedelmi szoftvercég egy kihasználási láncot fejleszt ki – amely magában foglalta a Chrome nulladik napját (CVE-2023 4762-) – a Predator telepítése Android-eszközökre. Alig néhány nappal korábban a Google egy újabb nulladik napot hozott nyilvánosságra a Chrome-ban (CVE-2023 4863-) ugyanabban a képfeldolgozó könyvtárban, amelyben az Apple egy nulladik napot közölt.
Lionel Litty, a Menlo Security böngészőbiztonsági cég vezető biztonsági építésze szerint nehéz megmondani, hogy van-e kapcsolat a Google és az Apple 2024-es első böngésző nulladik napja között, tekintettel a jelenleg rendelkezésre álló korlátozott információkra. „A Chrome CVE a JavaScript-motorban volt (v8), a Safari pedig egy másik JavaScript-motort használ” – mondja Litty. "Azonban nem ritka, hogy a különböző megvalósításokban nagyon hasonló hibák vannak."
Litty szerint a támadók, ha találtak egy „puha pontot” az egyik böngészőben, más böngészőket is megvizsgálnak ugyanazon a területen. "Tehát, bár nem valószínű, hogy ez pontosan ugyanaz a sebezhetőség, nem lenne túl meglepő, ha a két in-the-wild exploit között megosztott DNS lenne."
Robbanás a nulla órás, böngésző alapú adathalász támadásokban
A felügyeleti szolgáltatók messze nem az egyetlenek, akik megpróbálják kihasználni a böngésző biztonsági réseit és általában a böngészőket. A Menlo Security hamarosan megjelenő jelentése szerint 198 második felében 2023%-kal nőtt a böngészőalapú adathalász támadások száma az év első hat hónapjához képest. Az elkerülő támadások – ez a kategória, amely Menlo szerint a hagyományos biztonsági ellenőrzések kijátszására szolgáló technikákat alkalmaz – még magasabbra, 206%-kal nőtt, és 30 második felében az összes böngészőalapú támadás 2023%-át tették ki.
A Menlo elmondása szerint 30 napos időszak alatt több mint 11,000 XNUMX úgynevezett „nulladik órás” böngészőalapú adathalász támadást figyeltek meg, amelyek elkerülték a Secure Web Gateway és más végponti fenyegetésészlelő eszközöket.
„A böngésző az az üzleti alkalmazás, amely nélkül a vállalatok nem tudnak élni, de biztonsági és felügyelhetőségi szempontból lemaradt” – mondta Menlo a hamarosan megjelenő jelentésben.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :van
- :is
- :nem
- :ahol
- 000
- 11
- 2021
- 2023
- 2024
- 22
- 7
- a
- Rólunk
- Szerint
- elszámolni
- aktívan
- tevékenység
- tulajdonképpen
- További
- cím
- tanácsadó
- érintett
- Után
- Minden termék
- majdnem
- Is
- an
- elemzés
- és a
- android
- Másik
- bármilyen
- Apple
- Alkalmazás
- VANNAK
- TERÜLET
- AS
- kijelölt
- feltételezi
- At
- Támadások
- elérhető
- tudatában van
- Alapvetően
- BE
- mert
- óta
- mögött
- tartozó
- között
- mindkét
- böngésző
- böngészők
- Bogár
- bogarak
- üzleti
- de
- by
- Naptár
- hívott
- TUD
- eset
- Kategória
- bizonyos
- lánc
- Ellenőrzések
- fő
- króm
- polgár
- közel
- kód
- kereskedelmi
- vállalat
- képest
- aggodalmak
- zavar
- kapcsolat
- ellenőrzések
- tudott
- Jelenleg
- cve
- Nap
- leírt
- körülír
- részletek
- Érzékelés
- fejlesztése
- Eszközök
- különböző
- közzététel
- felfedezett
- dna
- Csepp
- minden
- Korábban
- munkavállaló
- Endpoint
- Motor
- Vállalatok
- egyaránt
- kikerülni
- Még
- EVER
- kivégez
- Exploit
- Hasznosított
- hasznosítja
- Elesett
- messze
- kevés
- Cég
- vezetéknév
- megjelölve
- hibái
- következik
- A
- talált
- ból ből
- további
- gateway
- általános
- adott
- Csoport
- Növekvő
- növekvő érdeklődés
- kellett
- fél
- megtörténik
- Kemény
- Legyen
- <p></p>
- kiemelve
- azonban
- HTML
- HTTPS
- azonosított
- if
- kép
- megvalósítások
- in
- beleértve
- tévesen
- Növelje
- információ
- bemenet
- telepíteni
- példa
- kamat
- iOS
- iPadOS
- iPhone
- kérdés
- IT
- ITS
- JavaScript
- jpg
- éppen
- ismert
- labor
- keresztnév
- Tavaly
- legkevésbé
- könyvtár
- Valószínű
- Korlátozott
- él
- MacOS
- Lehet..
- Hónap
- hónap
- több
- a legtöbb
- Természet
- Közel
- Új
- újonnan
- nst
- neves
- alkalommal
- of
- felajánlás
- on
- ONE
- azok
- csak
- or
- szervezet
- Más
- Párhuzamos
- időszak
- perspektíva
- Adathalászat
- adathalász támadások
- Plató
- Platón adatintelligencia
- PlatoData
- szonda
- feldolgozás
- kap
- új
- nemrég
- felszabaduló
- jelentést
- Számolt
- kutatók
- azok
- felfedi
- s
- Safari
- Mondott
- azonos
- azt mondják
- azt mondja,
- Második
- biztonság
- biztonság
- látás
- különálló
- szeptember
- megosztott
- hasonló
- óta
- egyetlen
- SIX
- Hat hónap
- So
- Puha
- szoftver
- néhány
- valami
- Spot
- kémkedés
- spyware
- szárak
- javasolja,
- ugrott
- meglepő
- felügyelet
- Systems
- Tandem
- cél
- célzás
- technikák
- Technologies
- Technológia
- mint
- hogy
- A
- azok
- Ott.
- ők
- Harmadik
- ezt
- fenyegetés
- idő
- nak nek
- is
- szerszám
- szerszámok
- toronto
- Végösszeg
- hagyományos
- tendencia
- próbál
- kettő
- típus
- Ritka
- egyetemi
- valószínűtlen
- közelgő
- használt
- használ
- segítségével
- érvényesítése
- érvényesítés
- eladó
- gyártók
- nagyon
- sérülékenységek
- sebezhetőség
- figyelmeztetett
- volt
- washington
- háló
- webkészlet
- hét
- Mit
- amikor
- ami
- míg
- széles körben
- val vel
- nélkül
- nem
- év
- tegnap
- zephyrnet
- nulladik napi hiba