Cercetătorii Google detaliază o vulnerabilitate exploatată activ în cadrul Apple Safari descoperită acum 5 ani
Potrivit unui raport al Google Project Zero, o vulnerabilitate de securitate din cadrul Apple Safari a fost exploatată activ la începutul anului 2022. Aceasta a fost remediată inițial în anul 2013 și a apărut din nou în decembrie 2016.
Vulnerabilitatea, identificată ca CVE-2022-22620 (scor de 8.8 pe scara CVSS), este o vulnerabiltiate de tip UAF (Use-After-Free) în componenta WebKit și poate fi exploatată cu ajutorul unui conținut web malițios pentru a obține execuție arbitrară a codului.
La începutul lunii februarie 2022, Apple a emis pachete de actualizări pentru vulnerabilitatea din cadrul Safari, iOS, iPadOS și macOS cu mențiunea că acestea ”ar putea să fi fost exploatate în mod activ”.
În timp ce ambele erori, din 2013 și 2022, din API-ul History sunt similare, modalitățile de declanșare a vulnerabilității sunt diferite. Modificările ulterioare ale codului întreprinse ani mai târziu au „readus la viață” vulnerabilitatea de tip zero-day.
Declarând că nu este un caz izolat pentru Safari, Maddie Stone de la Google Project Zero a subliniat că este nevoie de mai mult timp pentru a audita codul și corecțiile pentru a evita cazurile de duplicare a remedierilor și pentru a înțelege impactul asupra securității modificărilor efectuate.
Sursa: https://thehackernews.com/2022/06/google-researchers-detail-5-year-old.html
