Apple, Safari için WebKit tarayıcı motorunda aktif olarak yararlanılan bir sıfır gün hatasını düzeltti.
Olarak atanan hata CVE-2024-23222bir kaynaktan kaynaklanıyor tip karışıklığı hatasıTemel olarak, bir uygulama, aldığı girdinin belirli bir türde olduğunu, gerçekte doğrulamadan veya yanlış şekilde doğrulamadan hatalı bir şekilde varsaydığında olan şey budur.
Aktif Olarak İstismara Uğradı
Apple dün güvenlik açığını, bir saldırganın etkilenen sistemlerde rastgele kod yürütmek için kullanabileceği bir şey olarak tanımladı. Şirketin danışma belgesinde, daha fazla ayrıntı verilmeden, “Apple, bu sorunun istismar edilmiş olabileceğine dair bir raporun farkındadır” ifadesine yer verildi.
Şirket piyasaya çıktı güncellenmiş versiyonlar Güvenlik açığını gidermek için ek doğrulama kontrolleriyle birlikte iOS, iPadOS, macOS, iPadOS ve tvOS.
CVE-2024-23222, Apple’ın 2024 yılında WebKit’te açıkladığı ilk sıfır gün güvenlik açığıdır. Geçtiğimiz yıl şirket, teknolojide toplam 11 sıfır gün hatasını açıkladı; bu, tek bir takvim yılında bugüne kadarki en yüksek sayıydı. Apple, 2021’den bu yana, hem araştırmacıların hem de saldırganların tarayıcıya artan ilgisini vurgulayan toplam 22 WebKit sıfır gün hatasını açıkladı.
Buna paralel olarak, Apple’ın yeni WebKit sıfır gün açıklaması, Google’ın geçen haftaki açıklamasının ardından geldi. Chrome’da sıfır gün. Bu, son aylarda en azından üçüncü kez, her iki satıcının da kendi tarayıcılarında birbirine yakın bir şekilde sıfır gün açıkladığını gösteriyor. Bu eğilim, araştırmacıların ve saldırganların her iki teknolojideki kusurları neredeyse eşit derecede araştırdıklarını gösteriyor; bunun nedeni muhtemelen Chrome ve Safari’nin aynı zamanda en yaygın kullanılan tarayıcılar olması.
Casusluk Tehdidi
Apple, yeni açıklanan sıfır gün hatasını hedef alan istismar etkinliğinin niteliğini açıklamadı. Ancak araştırmacılar, ticari casus yazılım satıcılarının şirketin daha yeni yazılımlarından bazılarını kötüye kullanarak hedef kişilerin iPhone’larına gözetleme yazılımı bıraktığını gördüklerini bildirdi.
Eylül 2023’te Toronto Üniversitesi Vatandaş Laboratuvarı Apple’ı şu konuda uyardı: iki tıklama gerektirmeyen sıfır gün güvenlik açığı iOS’ta bir gözetleme yazılımı satıcısının, Predator casus yazılım aracını Washington, DC merkezli bir kuruluştaki bir çalışana ait bir iPhone’a bırakmak için kullandığı olay. Aynı ay, Citizen Lab araştırmacıları ayrıca iOS cihazlarını hedef alan, Safari hatasını da içeren ayrı bir sıfır gün istismar zinciri keşfettiklerini bildirdi.
Google, yakın zamanda birkaç kez Chrome’da da neredeyse Apple’la paralel olarak benzer endişeleri dile getirdi. Örneğin Eylül 2023’te, Apple’ın sıfır gün hatalarını açıkladığı sıralarda, Google’ın tehdit analizi grubundan araştırmacılar, Intellexa adlı ticari bir yazılım şirketinin, Chrome’un sıfır gün yazılımını da içeren bir yararlanma zinciri geliştirdiğini tespit etti (CVE-2023-4762) — Predator’ı Android cihazlara yüklemek için. Sadece birkaç gün önce Google, Chrome’da başka bir sıfır günü açıklamıştı (CVE-2023-4863) Apple’ın sıfır günü açıkladığı aynı görüntü işleme kitaplığında.
Tarayıcı güvenlik firması Menlo Security’nin baş güvenlik mimarı Lionel Litty, şu anda mevcut olan sınırlı bilgiler göz önüne alındığında, Google ile Apple’ın 2024 için ilk tarayıcı sıfır günleri arasında herhangi bir bağlantı olup olmadığını söylemenin zor olduğunu söylüyor. Litty, “Chrome CVE, JavaScript motorunda (v8) bulunuyordu ve Safari farklı bir JavaScript motoru kullanıyor” diyor. “Ancak farklı uygulamaların çok benzer kusurlara sahip olması alışılmadık bir durum değil.”
Litty, saldırganların bir tarayıcıda zayıf bir nokta bulduktan sonra aynı bölgedeki diğer tarayıcıları da araştırdıklarını söylüyor. “Dolayısıyla, bunun tamamen aynı güvenlik açığı olması pek mümkün olmasa da, bu iki açık arasında ortak bir DNA olması çok da şaşırtıcı olmazdı.”
Sıfır Saatlik Tarayıcı Tabanlı Kimlik Avı Saldırılarında Patlama
Gözetim satıcıları, tarayıcıların güvenlik açıklarından ve genel olarak tarayıcılardan yararlanmaya çalışan tek firma değil. Menlo Security’nin yakında yayınlanacak raporuna göre, 2023’ün ikinci yarısında tarayıcı tabanlı kimlik avı saldırılarında yılın ilk altı ayına göre %198’lik bir artış yaşandı. Menlo’nun geleneksel güvenlik kontrollerinden kaçma tekniklerini kullanmak olarak tanımladığı bir kategori olan kaçma saldırıları %206 oranında daha da arttı ve 2023’ün ikinci yarısında tüm tarayıcı tabanlı saldırıların %30’unu oluşturdu.
Menlo, 30 günlük bir süre boyunca, 11.000’den fazla sözde “sıfır saat” tarayıcı tabanlı kimlik avı saldırısının Güvenli Web Ağ Geçidi ve diğer uç nokta tehdit algılama araçlarından kaçtığını gözlemlediğini söyledi.
Menlo, gelecek raporda “Tarayıcı, işletmelerin onsuz yaşayamayacağı bir iş uygulamasıdır, ancak güvenlik ve yönetilebilirlik açısından geride kalmıştır” dedi.