Σύμφωνα με τους ερευνητές ασφαλείας της Cisco Talos, το WebKit browser engine είναι αυτή τη στιγμή ευάλωτο σε πολλές ευπάθειες. Μερικές από αυτές, μπορούν να επιτρέψουν στους επιτιθέμενους να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα, πείθοντας τον στοχευμένο χρήστη να επισκεφθεί κακόβουλα sites.
Το WebKit είναι ένα open source engine που δημιουργήθηκε από την Apple και χρησιμοποιείται από τον Safari browser και άλλα προϊόντα της εταιρείας, καθώς και από πολλές άλλες εφαρμογές για macOS, iOS και Linux. Επίσης, χρησιμοποιείται από τον BlackBerry Browser και από κονσόλες Play Station.
Η Cisco Talos αποκάλυψε τη Δευτέρα ότι ένας από τους ερευνητές της εντόπισε αρκετές ευπάθειες, μεγάλης σοβαρότητας, που μπορούν να αξιοποιηθούν για απομακρυσμένη εκτέλεση κώδικα, κάνοντας τον στοχευμένο χρήστη να επισκεφτεί ένα ειδικά σχεδιασμένο site με ένα πρόγραμμα περιήγησης που χρησιμοποιεί το WebKit.
Οι ευπάθειες σχετίζονται με το WebSocket του WebKit, το AudioSourceProviderGStreamer και το ImageDecoderGStreamer functionality.
Σύμφωνα με την Talos, οι σοβαρές ευπάθειες που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα, αναφέρθηκαν αυτό το φθινόπωρο και διορθώθηκαν νωρίτερα αυτό το μήνα. Οι ερευνητές τους έχουν δώσει τα ονόματα: CVE CVE-2020-13584, CVE-2020-13558 και CVE-2020-13543.
Ένα security advisory που δημοσιεύθηκε την περασμένη εβδομάδα από τους προγραμματιστές του WebKitGTK (ενός full-featured port τουWebKit) και του WPE (WebKit port για συσκευές χαμηλής κατανάλωσης), αναφέρει δύο ευπάθειες εκτέλεσης κώδικα που εντοπίστηκαν από την Talos. Η μία από τις ευπάθειες αποκαλύφθηκε τώρα και η άλλη τον Σεπτέμβριο. Όπως είπαμε και παραπάνω, τον Σεπτέμβριο, αναφέρθηκαν από τους ερευνητές πολλά άλλα σφάλματα.
Η Talos έχει δημοσιεύσει λεπτομερείς τεχνικές εκθέσεις για κάθε μια από αυτές τις ευπάθειες και έχει διαθέσει SNORT rules για να βοηθήσει τους πελάτες να εντοπίσουν απόπειρες εκμετάλλευσης.
Η Apple πιθανότατα θα διορθώσει τις πιο πρόσφατες ευπάθειες WebKit με την κυκλοφορία των επόμενων ενημερώσεων λογισμικού.
Πηγή: Security Week