ימים אחרי גוגל, אפל חושפת את הניצול של יום אפס במנוע הדפדפן

אפל תיקנה באג שנוצל באופן פעיל במנוע הדפדפן WebKit שלה עבור Safari.

הבאג, שהוקצה כ CVE-2024-23222, נובע מא שגיאת בלבול סוג, וזה בעצם מה שקורה כאשר אפליקציה מניחה באופן שגוי שהקלט שהיא מקבלת הוא מסוג מסוים מבלי לאמת בפועל - או לאמת באופן שגוי - שזה המקרה.

מנוצל באופן פעיל

אפל תיארה אתמול את הפגיעות כמשהו שתוקף יכול לנצל כדי להפעיל קוד שרירותי במערכות מושפעות. "אפל מודעת לדיווח שייתכן שהבעיה הזו נוצלה", ציין הייעוץ של החברה, מבלי להציע פרטים נוספים.

החברה פרסמה גרסאות מעודכנות של iOS, iPadOS, macOS, iPadOS ו-tvOS עם בדיקות אימות נוספות כדי לטפל בפגיעות.

CVE-2024-23222 היא הפגיעות הראשונה של יום האפס שחשפה אפל ב-WebKit בשנת 2024. בשנה שעברה, החברה חשפה סך של 11 באגים של יום אפס בטכנולוגיה - המספר הגדול ביותר אי פעם בשנה קלנדרית אחת. מאז 2021, אפל חשפה בסך הכל 22 באגים של WebKit zero day, המדגישים את העניין הגובר בדפדפן הן מצד חוקרים ותוקפים.

במקביל, החשיפה של אפל על ה-WebKit zero-day החדש באה בעקבות החשיפה של גוגל בשבוע שעבר של יום אפס בכרום. זה מציין לפחות את הפעם השלישית בחודשים האחרונים שבה שני הספקים חשפו אפס ימים בדפדפנים שלהם בסמיכות זה לזה. המגמה מעידה על כך שחוקרים ותוקפים מחפשים כמעט באותה מידה פגמים בשתי הטכנולוגיות, ככל הנראה מכיוון שכרום וספארי הם גם הדפדפנים הנפוצים ביותר.

איום הריגול

אפל לא חשפה את אופי פעילות הניצול המכוונת לבאג החדש שנחשף היום-אפס. אבל חוקרים דיווחו שראו ספקי תוכנות ריגול מסחריות מנצלות לרעה כמה מהתוכנות האחרונות של החברה, כדי להפיל תוכנות מעקב על מכשירי אייפון של נושאי יעד.

בספטמבר 2023, מעבדת האזרחים של אוניברסיטת טורונטו הזהירה את אפל מפני שתי נקודות תורפה של יום אפס ללא קליק ב-iOS שיצרן תוכנות מעקב ניצל כדי להפיל את כלי הריגול Predator באייפון השייך לעובד בארגון בוושינגטון הבירה. באותו חודש, חוקרי Citizen Lab דיווחו על שרשרת ניצול נפרדת של יום אפס - שכללה באג בספארי - שהם גילו מכוונים למכשירי iOS.

גוגל סימנה חששות דומים בכרום, כמעט בד בבד עם אפל, בכמה הזדמנויות לאחרונה. בספטמבר 2023, למשל, סמוך לאותו זמן שחשפה אפל את באגי האפס-יום שלה, חוקרים מקבוצת ניתוח האיומים של גוגל זיהו חברת תוכנה מסחרית בשם Intellexa כמפתחת שרשרת ניצול - שכללה תאריך אפס של Chrome (CVE-2023-4762) - כדי להתקין את Predator במכשירי אנדרואיד. רק כמה ימים קודם לכן, גוגל חשפה עוד יום אפס בכרום (CVE-2023-4863) באותה ספריית עיבוד תמונה שבה אפל חשפה יום אפס.

ליונל ליטי, ארכיטקט אבטחה ראשי בחברת אבטחת הדפדפנים Menlo Security, אומר שקשה לומר אם יש קשר בין גוגל לדפדפן הראשון של אפל לשנת 2024, בהתחשב במידע המוגבל הזמין כרגע. "ה-CVE של Chrome היה במנוע JavaScript (v8) ו-Safari משתמש במנוע JavaScript אחר", אומרת ליטי. "עם זאת, אין זה נדיר שיישומים שונים יש להם פגמים דומים מאוד."

ברגע שתוקפים מצאו נקודה רכה בדפדפן אחד, ידוע שהם גם בודקים דפדפנים אחרים באותו אזור, אומר ליטי. "לכן, למרות שלא סביר שזו אותה פגיעות בדיוק, זה לא יהיה מפתיע מדי אם היה איזה DNA משותף בין שני הניצולים בטבע."

פיצוץ בהתקפות דיוג מבוססות דפדפן של שעות אפס

ספקי מעקב הם, ללא ספק, לא היחידים שמנסים לנצל פרצות דפדפנים ודפדפנים באופן כללי. על פי דוח שיפורסם בקרוב מ-Menlo Security, חלה עלייה של 198% בהתקפות דיוג מבוססות דפדפן במחצית השנייה של 2023 בהשוואה לששת החודשים הראשונים של השנה. התקפות התחמקות - קטגוריה שמנלו מתאר כמשתמשת בטכניקות להתחמקות מבקרות אבטחה מסורתיות - זינקו אף יותר, ב-206%, והיוו 30% מכלל ההתקפות מבוססות הדפדפן במחצית השנייה של 2023.

במהלך תקופה של 30 יום, מנלו אומרת שהיא זיהתה יותר מ-11,000 מה שמכונה "אפס-שעת" התקפות דיוג מבוססות דפדפן מתחמקות מ-Secure Web Gateway וכלים אחרים לזיהוי איומים בנקודות קצה.

"הדפדפן הוא היישומים העסקיים שארגונים לא יכולים לחיות בלעדיו, אבל הוא נקלע לפיגור מנקודת מבט של אבטחה וניהול", אמר מנלו בדו"ח הקרוב.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine