Исследователи Google Project Zero подробно описали уязвимость, которая 5 лет использовалась в дикой природе.
CVE-2022-22620 в Safari (с оценкой 8,8 по шкале CVSS) – уязвимость Use-After-Free в компоненте WebKit , которая может быть использована с помощью специально созданного веб-контента для выполнения произвольного кода. В начале февраля 2022 года Apple выпустила исправления для этой уязвимости в Safari, iOS, iPadOS и macOS, признав, что она могла активно использоваться в дикой природе.
"Эта версия уязвимости была полностью исправлена, когда об ней впервые сообщили в 2013 году.", – сказала Мэдди Стоун из Google Project Zero . "Однако три года спустя, в ходе масштабных работ по рефакторингу, уязвимость появилась вновь. Затем она продолжала существовать в течение 5 лет, пока в январе 2022 года она не была устранена как 0-day".
Хотя уязвимости History API в 2013 и 2022 годах одинаковы, появились они по совершенно разным причинам. Специалисты сравнили уязвимость с зомби, ведь изменения кода, предпринятые спустя годы, “возрождали” CVE-2022-22620.
Заявив, что инцидент не является уникальным для Safari, Стоун подчеркнула, что специалистам необходимо уделять достаточно времени проверке кода и патчей, чтобы избежать случаев дублирования исправлений и понять, как вносимые изменения влияют на безопасность.
Ранее сообщалось про другую 0-day в Safari. С ее помощью «русские хакеры» атаковали пользователей LinkedIn.