Beberapa Hari Setelah Google, Apple Mengungkapkan Zero-Day yang Dieksploitasi di Mesin Browser

Apple telah menambal bug zero-day yang dieksploitasi secara aktif di mesin browser WebKit untuk Safari.

Bug, ditetapkan sebagai CVE-2024-23222, berasal dari a ketik kesalahan kebingungan, yang pada dasarnya terjadi ketika aplikasi salah berasumsi bahwa input yang diterimanya adalah jenis tertentu tanpa benar-benar memvalidasi — atau salah memvalidasi — hal tersebut terjadi.

Dieksploitasi secara aktif

Apple kemarin menggambarkan kerentanan sebagai sesuatu yang dapat dieksploitasi oleh penyerang untuk mengeksekusi kode arbitrer pada sistem yang terpengaruh. “Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi,” kata penasihat perusahaan tersebut, tanpa memberikan rincian lebih lanjut.

Perusahaan telah merilis versi yang diperbarui iOS, iPadOS, macOS, iPadOS, dan tvOS dengan pemeriksaan validasi tambahan untuk mengatasi kerentanan.

CVE-2024-23222 adalah kerentanan zero-day pertama yang diungkapkan Apple di WebKit pada tahun 2024. Tahun lalu, perusahaan mengungkapkan total 11 bug zero-day dalam teknologinya — yang merupakan jumlah terbesar dalam satu tahun kalender. Sejak tahun 2021, Apple telah mengungkapkan total 22 bug zero-day WebKit, yang menyoroti meningkatnya minat terhadap browser baik dari peneliti maupun penyerang.

Secara paralel, pengungkapan zero-day WebKit baru oleh Apple mengikuti pengungkapan Google minggu lalu pada a zero-day di Chrome. Ini menandai setidaknya ketiga kalinya dalam beberapa bulan terakhir di mana kedua vendor mengungkapkan zero-day di browser masing-masing dalam jarak yang berdekatan satu sama lain. Tren ini menunjukkan bahwa peneliti dan penyerang sama-sama menyelidiki kelemahan pada kedua teknologi tersebut, kemungkinan karena Chrome dan Safari juga merupakan browser yang paling banyak digunakan.

Ancaman Spionase

Apple belum mengungkapkan sifat aktivitas eksploitasi yang menargetkan bug zero-day yang baru diungkapkan tersebut. Namun para peneliti telah melaporkan melihat vendor spyware komersial menyalahgunakan beberapa vendor terbaru perusahaan tersebut, untuk menjatuhkan perangkat lunak pengawasan pada iPhone targetnya.

Pada bulan September 2023, Citizen Lab Universitas Toronto memperingatkan Apple tentang hal ini dua kerentanan zero-day tanpa klik di iOS yang telah dieksploitasi oleh vendor perangkat lunak pengawasan untuk menjatuhkan alat spyware Predator ke iPhone milik seorang karyawan di sebuah organisasi yang berbasis di Washington, DC. Pada bulan yang sama, peneliti Citizen Lab juga melaporkan rantai eksploitasi zero-day yang terpisah – termasuk bug Safari – yang mereka temukan menargetkan perangkat iOS.

Google telah menandai kekhawatiran serupa di Chrome, hampir bersamaan dengan Apple, dalam beberapa kesempatan baru-baru ini. Pada bulan September 2023, misalnya, di saat yang hampir bersamaan dengan Apple mengungkap bug zero-day-nya, para peneliti dari kelompok analisis ancaman Google mengidentifikasi perusahaan perangkat lunak komersial bernama Intellexa sedang mengembangkan rantai eksploitasi — yang mencakup zero-day Chrome (CVE-2023-4762) — untuk menginstal Predator di perangkat Android. Beberapa hari sebelumnya, Google telah mengungkapkan zero-day lainnya di Chrome (CVE-2023-4863) di perpustakaan pemrosesan gambar yang sama tempat Apple mengungkapkan zero-day.

Lionel Litty, kepala arsitek keamanan di perusahaan keamanan browser Menlo Security, mengatakan sulit untuk mengatakan apakah ada hubungan antara Google dan browser zero-day pertama Apple pada tahun 2024, mengingat terbatasnya informasi yang tersedia saat ini. “Chrome CVE menggunakan mesin JavaScript (v8) dan Safari menggunakan mesin JavaScript yang berbeda,” kata Litty. “Namun, tidak jarang penerapan yang berbeda memiliki kelemahan yang sangat mirip.”

Setelah penyerang menemukan titik lemah di satu browser, mereka juga diketahui menyelidiki browser lain di area yang sama, kata Litty. “Jadi, meskipun kerentanan ini tidak sama persis, tidak mengherankan jika ada kesamaan DNA antara kedua eksploitasi di alam liar.”

Ledakan Serangan Phishing Berbasis Browser Tanpa Waktu

Sejauh ini, vendor pengawasan bukan satu-satunya yang mencoba mengeksploitasi kerentanan browser dan browser secara umum. Menurut laporan yang akan segera dirilis dari Menlo Security, terdapat peningkatan serangan phishing berbasis browser sebesar 198% pada paruh kedua tahun 2023 dibandingkan dengan enam bulan pertama tahun ini. Serangan mengelak – sebuah kategori yang Menlo gambarkan sebagai penggunaan teknik untuk menghindari kontrol keamanan tradisional – melonjak lebih tinggi lagi, sebesar 206%, dan menyumbang 30% dari seluruh serangan berbasis browser pada paruh kedua tahun 2023.

Selama periode 30 hari, Menlo mengatakan pihaknya mengamati lebih dari 11,000 serangan phishing berbasis browser “zero-hour” yang menghindari Secure Web Gateway dan alat pendeteksi ancaman titik akhir lainnya.

“Browser adalah aplikasi bisnis yang tidak dapat ditinggalkan oleh perusahaan, namun telah tertinggal dari sudut pandang keamanan dan pengelolaan,” kata Menlo dalam laporan mendatang.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine