אפל תיקנה באג שנוצל באופן פעיל במנוע הדפדפן WebKit שלה עבור Safari.
הבאג, שהוקצה כ CVE-2024-23222, נובע מא שגיאת בלבול סוג, וזה בעצם מה שקורה כאשר אפליקציה מניחה באופן שגוי שהקלט שהיא מקבלת הוא מסוג מסוים מבלי לאמת בפועל - או לאמת באופן שגוי - שזה המקרה.
מנוצל באופן פעיל
אפל תיארה אתמול את הפגיעות כמשהו שתוקף יכול לנצל כדי להפעיל קוד שרירותי במערכות מושפעות. "אפל מודעת לדיווח שייתכן שהבעיה הזו נוצלה", ציין הייעוץ של החברה, מבלי להציע פרטים נוספים.
החברה פרסמה גרסאות מעודכנות של iOS, iPadOS, macOS, iPadOS ו-tvOS עם בדיקות אימות נוספות כדי לטפל בפגיעות.
CVE-2024-23222 היא הפגיעות הראשונה של יום האפס שחשפה אפל ב-WebKit בשנת 2024. בשנה שעברה, החברה חשפה סך של 11 באגים של יום אפס בטכנולוגיה - המספר הגדול ביותר אי פעם בשנה קלנדרית אחת. מאז 2021, אפל חשפה בסך הכל 22 באגים של WebKit zero day, המדגישים את העניין הגובר בדפדפן הן מצד חוקרים ותוקפים.
במקביל, החשיפה של אפל על ה-WebKit zero-day החדש באה בעקבות החשיפה של גוגל בשבוע שעבר של יום אפס בכרום. זה מציין לפחות את הפעם השלישית בחודשים האחרונים שבה שני הספקים חשפו אפס ימים בדפדפנים שלהם בסמיכות זה לזה. המגמה מעידה על כך שחוקרים ותוקפים מחפשים כמעט באותה מידה פגמים בשתי הטכנולוגיות, ככל הנראה מכיוון שכרום וספארי הם גם הדפדפנים הנפוצים ביותר.
איום הריגול
אפל לא חשפה את אופי פעילות הניצול המכוונת לבאג החדש שנחשף היום-אפס. אבל חוקרים דיווחו שראו ספקי תוכנות ריגול מסחריות מנצלות לרעה כמה מהתוכנות האחרונות של החברה, כדי להפיל תוכנות מעקב על מכשירי אייפון של נושאי יעד.
בספטמבר 2023, מעבדת האזרחים של אוניברסיטת טורונטו הזהירה את אפל מפני שתי נקודות תורפה של יום אפס ללא קליק ב-iOS שיצרן תוכנות מעקב ניצל כדי להפיל את כלי הריגול Predator באייפון השייך לעובד בארגון בוושינגטון הבירה. באותו חודש, חוקרי Citizen Lab דיווחו על שרשרת ניצול נפרדת של יום אפס - שכללה באג בספארי - שהם גילו מכוונים למכשירי iOS.
גוגל סימנה חששות דומים בכרום, כמעט בד בבד עם אפל, בכמה הזדמנויות לאחרונה. בספטמבר 2023, למשל, סמוך לאותו זמן שחשפה אפל את באגי האפס-יום שלה, חוקרים מקבוצת ניתוח האיומים של גוגל זיהו חברת תוכנה מסחרית בשם Intellexa כמפתחת שרשרת ניצול - שכללה תאריך אפס של Chrome (CVE-2023-4762) - כדי להתקין את Predator במכשירי אנדרואיד. רק כמה ימים קודם לכן, גוגל חשפה עוד יום אפס בכרום (CVE-2023-4863) באותה ספריית עיבוד תמונה שבה אפל חשפה יום אפס.
ליונל ליטי, ארכיטקט אבטחה ראשי בחברת אבטחת הדפדפנים Menlo Security, אומר שקשה לומר אם יש קשר בין גוגל לדפדפן הראשון של אפל לשנת 2024, בהתחשב במידע המוגבל הזמין כרגע. "ה-CVE של Chrome היה במנוע JavaScript (v8) ו-Safari משתמש במנוע JavaScript אחר", אומרת ליטי. "עם זאת, אין זה נדיר שיישומים שונים יש להם פגמים דומים מאוד."
ברגע שתוקפים מצאו נקודה רכה בדפדפן אחד, ידוע שהם גם בודקים דפדפנים אחרים באותו אזור, אומר ליטי. "לכן, למרות שלא סביר שזו אותה פגיעות בדיוק, זה לא יהיה מפתיע מדי אם היה איזה DNA משותף בין שני הניצולים בטבע."
פיצוץ בהתקפות דיוג מבוססות דפדפן של שעות אפס
ספקי מעקב הם, ללא ספק, לא היחידים שמנסים לנצל פרצות דפדפנים ודפדפנים באופן כללי. על פי דוח שיפורסם בקרוב מ-Menlo Security, חלה עלייה של 198% בהתקפות דיוג מבוססות דפדפן במחצית השנייה של 2023 בהשוואה לששת החודשים הראשונים של השנה. התקפות התחמקות - קטגוריה שמנלו מתאר כמשתמשת בטכניקות להתחמקות מבקרות אבטחה מסורתיות - זינקו אף יותר, ב-206%, והיוו 30% מכלל ההתקפות מבוססות הדפדפן במחצית השנייה של 2023.
במהלך תקופה של 30 יום, מנלו אומרת שהיא זיהתה יותר מ-11,000 מה שמכונה "אפס-שעת" התקפות דיוג מבוססות דפדפן מתחמקות מ-Secure Web Gateway וכלים אחרים לזיהוי איומים בנקודות קצה.
"הדפדפן הוא היישומים העסקיים שארגונים לא יכולים לחיות בלעדיו, אבל הוא נקלע לפיגור מנקודת מבט של אבטחה וניהול", אמר מנלו בדו"ח הקרוב.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/days-after-google-apple-discloses-actively-exploited-0-day-in-its-browser-engine
- :יש ל
- :הוא
- :לֹא
- :איפה
- 000
- 11
- 2021
- 2023
- 2024
- 22
- 7
- a
- אודות
- פי
- היוו
- באופן פעיל
- פעילות
- למעשה
- נוסף
- כתובת
- ייעוץ
- מושפע
- לאחר
- תעשיות
- כמעט
- גם
- an
- אנליזה
- ו
- דְמוּי אָדָם
- אחר
- כל
- תפוח עץ
- בקשה
- ARE
- AREA
- AS
- שהוקצה
- מניח
- At
- המתקפות
- זמין
- מודע
- בעיקרון
- BE
- כי
- היה
- מאחור
- שייכות
- בֵּין
- שניהם
- דפדפן
- דפדפנים
- חרק
- באגים
- עסקים
- אבל
- by
- יומן אירועים
- נקרא
- CAN
- מקרה
- קטגוריה
- מסוים
- שרשרת
- בדיקות
- רֹאשׁ
- Chrome
- אזרח
- סְגוֹר
- קוד
- מסחרי
- חברה
- לעומת
- דאגות
- בלבול
- הקשר
- בקרות
- יכול
- כיום
- Cve
- ימים
- מְתוּאָר
- מתאר
- פרטים
- איתור
- מתפתח
- התקנים
- אחר
- חשיפה
- גילה
- ה-DNA
- ירידה
- כל אחד
- מוקדם יותר
- עובד
- נקודת קצה
- מנוע
- חברות
- באותה מידה
- בריחה
- אֲפִילוּ
- אי פעם
- לבצע
- לנצל
- ומנוצל
- מעללים
- נָפוּל
- רחוק
- מעטים
- פירמה
- ראשון
- מסומן
- פגמים
- כדלקמן
- בעד
- מצא
- החל מ-
- נוסף
- שער כניסה
- כללי
- נתן
- קְבוּצָה
- גדל
- עניין הולך וגובר
- היה
- חצי
- קורה
- קשה
- יש
- גבוה יותר
- הדגשה
- אולם
- HTML
- HTTPS
- מזוהה
- if
- תמונה
- יישומים
- in
- כלול
- לא נכון
- להגדיל
- מידע
- קלט
- להתקין
- למשל
- אינטרס
- iOS
- iPad
- iPhone
- סוגיה
- IT
- שֶׁלָה
- JavaScript
- jpg
- רק
- ידוע
- מעבדה
- אחרון
- שנה שעברה
- הכי פחות
- סִפְרִיָה
- סביר
- מוגבל
- לחיות
- MacOS
- מאי..
- חוֹדֶשׁ
- חודשים
- יותר
- רוב
- טבע
- ליד
- חדש
- חדש
- ניסט
- ציין
- הזדמנויות
- of
- הצעה
- on
- ONE
- יחידות
- רק
- or
- ארגון
- אחר
- מקביל
- תקופה
- פרספקטיבה
- דיוג
- התקפות פישינג
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- בדיקה
- תהליך
- מקבל
- לאחרונה
- לאחרונה
- שוחרר
- לדווח
- דווח
- חוקרים
- אלה
- מגלה
- s
- ספארי
- אמר
- אותו
- לומר
- אומר
- שְׁנִיָה
- לבטח
- אבטחה
- ראות
- נפרד
- סֶפּטֶמבֶּר
- משותף
- דומה
- since
- יחיד
- שישה
- שישה חודשים
- So
- רך
- תוכנה
- כמה
- משהו
- מסחרי
- ריגול
- תוכנות ריגול
- גבעולים
- מציע
- זינק
- מפתיע
- מעקב
- מערכות
- זה אחר זה
- יעד
- מיקוד
- טכניקות
- טכנולוגיות
- טכנולוגיה
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- הֵם
- שְׁלִישִׁי
- זֶה
- איום
- זמן
- ל
- גַם
- כלי
- כלים
- טורונטו
- סה"כ
- מסורתי
- מְגַמָה
- מנסה
- שתיים
- סוג
- נדיר
- אוניברסיטה
- לא סביר
- בקרוב ב
- מְשׁוּמָשׁ
- שימושים
- באמצעות
- מאמת
- אימות
- מוכר
- ספקים
- מאוד
- פגיעויות
- פגיעות
- מוזהר
- היה
- וושינגטון
- אינטרנט
- ערכת רשת
- שבוע
- מה
- מתי
- אשר
- בזמן
- באופן נרחב
- עם
- לְלֹא
- לא
- שנה
- אתמול
- זפירנט
- באג של יום אפס