Giorni dopo Google, Apple rivela lo sfruttamento dello Zero-Day nel motore del browser

Apple ha corretto un bug zero-day attivamente sfruttato nel suo motore del browser WebKit per Safari.

Il bug, assegnato come CVE-2024-23222, deriva da a errore di confusione di tipo, che fondamentalmente è ciò che accade quando un'applicazione presuppone erroneamente che l'input che riceve sia di un certo tipo senza effettivamente convalidare, o convalidare erroneamente, che sia così.

Sfruttato attivamente

Apple ieri ha descritto la vulnerabilità come qualcosa che un utente malintenzionato potrebbe sfruttare per eseguire codice arbitrario sui sistemi interessati. "Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato", osserva l'advisory della società, senza offrire ulteriori dettagli.

L'azienda ha rilasciato versioni aggiornate di iOS, iPadOS, macOS, iPadOS e tvOS con ulteriori controlli di convalida per risolvere la vulnerabilità.

CVE-2024-23222 è la prima vulnerabilità zero-day che Apple ha rivelato in WebKit nel 2024. L’anno scorso, la società ha rivelato un totale di 11 bug zero-day nella tecnologia: il numero più alto mai registrato in un solo anno solare. Dal 2021, Apple ha rivelato un totale di 22 bug zero-day di WebKit, evidenziando il crescente interesse per il browser sia da parte dei ricercatori che degli aggressori.

Parallelamente, la divulgazione da parte di Apple del nuovo WebKit zero-day segue la divulgazione di Google della scorsa settimana di a zero-day in Chrome. È almeno la terza volta negli ultimi mesi in cui entrambi i fornitori hanno rivelato zero-day nei rispettivi browser in stretta vicinanza l'uno all'altro. La tendenza suggerisce che ricercatori e aggressori stanno indagando quasi allo stesso modo sui difetti di entrambe le tecnologie, probabilmente perché Chrome e Safari sono anche i browser più utilizzati.

La minaccia dello spionaggio

Apple non ha rivelato la natura dell'attività di exploit mirata al bug zero-day appena rivelato. Ma i ricercatori hanno riferito di aver visto venditori di spyware commerciali abusare di alcuni dei più recenti spyware dell'azienda, per installare software di sorveglianza sugli iPhone dei soggetti presi di mira.

Nel settembre 2023, il Citizen Lab dell'Università di Toronto ha messo in guardia Apple due vulnerabilità zero-day no-click in iOS che un fornitore di software di sorveglianza aveva sfruttato per inserire lo strumento spyware Predator su un iPhone appartenente a un dipendente di un'organizzazione con sede a Washington, DC. Lo stesso mese, i ricercatori di Citizen Lab hanno anche segnalato una catena di exploit zero-day separata, che includeva un bug di Safari, che avevano scoperto prendere di mira i dispositivi iOS.

Google ha segnalato preoccupazioni simili in Chrome, quasi in tandem con Apple, in alcune occasioni di recente. Nel settembre 2023, ad esempio, quasi nello stesso periodo in cui Apple ha rivelato i suoi bug zero-day, i ricercatori del gruppo di analisi delle minacce di Google hanno identificato una società di software commerciale chiamata Intellexa che stava sviluppando una catena di exploit, che includeva un bug zero-day di Chrome (CVE-2023-4762) — per installare Predator su dispositivi Android. Solo pochi giorni prima, Google aveva rivelato un altro zero-day in Chrome (CVE-2023-4863) nella stessa libreria di elaborazione delle immagini in cui Apple aveva rivelato un giorno zero.

Lionel Litty, capo architetto della sicurezza presso la società di sicurezza dei browser Menlo Security, afferma che è difficile dire se esista qualche connessione tra Google e il primo browser zero-day di Apple per il 2024, date le informazioni limitate attualmente disponibili. "Il CVE di Chrome era nel motore JavaScript (v8) e Safari utilizza un motore JavaScript diverso", afferma Litty. "Tuttavia, non è raro che implementazioni diverse presentino difetti molto simili."

Una volta che gli aggressori hanno trovato un punto debole in un browser, sono noti anche per sondare altri browser nella stessa area, dice Litty. "Quindi, anche se è improbabile che si tratti della stessa vulnerabilità, non sarebbe troppo sorprendente se ci fosse un DNA condiviso tra i due exploit in circolazione."

Esplosione di attacchi di phishing zero-hour basati su browser

I fornitori di servizi di sorveglianza non sono, di gran lunga, gli unici a cercare di sfruttare le vulnerabilità dei browser e dei browser in generale. Secondo un rapporto di Menlo Security di prossima pubblicazione, nella seconda metà del 198 si è registrato un aumento del 2023% degli attacchi di phishing basati su browser rispetto ai primi sei mesi dell’anno. Gli attacchi evasivi – una categoria che Menlo descrive come l’utilizzo di tecniche per eludere i tradizionali controlli di sicurezza – sono aumentati ancora di più, del 206%, e hanno rappresentato il 30% di tutti gli attacchi basati su browser nella seconda metà del 2023.

In un periodo di 30 giorni, Menlo afferma di aver osservato più di 11,000 attacchi di phishing basati su browser cosiddetti “zero-hour” eludere Secure Web Gateway e altri strumenti di rilevamento delle minacce endpoint.

"Il browser è l'applicazione aziendale di cui le aziende non possono fare a meno, ma è rimasto indietro dal punto di vista della sicurezza e della gestibilità", ha affermato Menlo nel prossimo rapporto.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine