Apple oraz Google udostępniły aktualizacje zabezpieczeń mające na celu usunięcie luk dnia zerowego w ich przeglądarkach – Safari oraz Chrome. Podatność w Safari została wykorzystana podczas tegorocznego konkursu hakerskiego Pwn2Own Vancouver.
Ostatni okres jest trudny dla Google, ponieważ pojawiło się aż siedem krytycznych podatności, w tym dwie typu zero-day. Apple też nie ma powodów do dumy w tym zakresie. Luki dotyczą obu przeglądarek na różnych urządzeniach – zarówno komputerów stacjonarnych, jak i mobilnych. Powyższe oznacza, iż nowe zagrożenia (nawet te najgroźniejsze) przez cały czas występują i powinniśmy na bieżąco aktualizować systemy i aplikacje. Poniżej publikujemy informacje na temat odkrytych w przeglądarkach dwóch gigantów technologicznych zero-dayów.
Szczegóły luki zero-day w Apple Safari – CVE-2024-27834
Luka w Safari WebKit została zidentyfikowana jako CVE-2024-27834. Dzięki niej osoba atakująca posiadająca dowolne możliwości odczytu i zapisu może być w stanie ominąć uwierzytelnianie wskaźnika.
Jeśli luka zostanie pomyślnie wykorzystana, atakujący może ominąć zabezpieczenia, uzyskując nieautoryzowany dostęp do systemu lub uruchamiając w nim szkodliwy kod.
Zwycięzca Master of Pwn, Manfred Paul, zgłosił tę lukę we współpracy z inicjatywą Zero Day firmy Trend Micro. Paul wykorzystał błąd niedopełnienia liczby całkowitej, aby uzyskać zdalne wykonanie kodu (RCE), i zarobił 60 000 dolarów.
Szczegóły luki zero-day w Google Chrome – CVE-2024-4671
CVE-2024-4671 to luka zero-day o wysokim stopniu ważności, która ma wpływ na elementy wizualne po ich użyciu.
Związana jest z błędem powodującym pomylenie typów w silniku JavaScript V8, który może pozwolić na ataki polegające na zdalnym wykonaniu kodu.
Błąd polegający na pomyleniu typów w silniku JavaScript V8 odnosi się do luki w zabezpieczeniach, w wyniku której silnik nieprawidłowo interpretuje typ obiektu, co w konsekwencji prowadzi do błędów logicznych i potencjalnie umożliwia atakującym wykonanie dowolnego kodu.
Tego rodzaju luka jest szczególnie niebezpieczna, ponieważ można ją wykorzystać do uszkodzenia sterty poprzez utworzenie określonej strony HTML, która uruchamia błąd, zagrażając w ten sposób bezpieczeństwu przeglądarki i systemu bazowego.
Przeglądarka Chrome 125.0.6422.60 dla systemu Linux oraz 125.0.6422.60/.61 dla systemów Windows i Mac wprowadza kilka poprawek i udoskonaleń. Oficjalny dziennik wydań zawiera obszerną listę zmian.
Analitycy bezpieczeństwa Wasilij Berdnikow i Boris Larin z Kaspersky’ego odkryli lukę 13 maja i zgłosili ją Google.
„Google wie o istniejącym na wolności exploicie CVE-2024-4947 i nalega, aby użytkownicy jak najszybciej zaktualizowali swoje przeglądarki”.
To już siódmy w tym roku exploit typu zero-day (i drugi w tym tygodniu) wymierzony w użytkowników przeglądarki Chrome.
Aktualizuj teraz!
Chociaż większość aktualizacji jest automatycznie wysyłana do kwalifikujących się urządzeń, mogą się one nie powieść, jeżeli użytkownicy wyłączyli automatyczne aktualizacje (co nie jest zalecane ze względów bezpieczeństwa). Dlatego powinniśmy upewnić się, iż nasze urządzenia są aktualne, manualnie sprawdzając dostępność aktualizacji.
Jeśli używasz urządzenia z systemem operacyjnym, którego dotyczy ten problem, upewnij się, iż masz aktualizację. Według doniesień omawiane luki są aktywnie atakowane.
W przypadku urządzeń Apple, aby naprawić luki, musisz zaktualizować system do najnowszych poprawionych wersji: iOS 17.5, iPadOS 17.5, tvOS 17.5, Safari 17.5, watchOS 10.5 lub macOS Sonoma 14.5.
W przypadku Google Chrome poprawki znajdziesz w wersji 125.0.6422.60 dla systemu Linux oraz 125.0.6422.60/.61 dla systemów Windows i Mac.
