Hjem > Cyber ​​Nyheder > CVE-2022-22620: En fortælling om Apples Safari Zombie Zero-Day
CYBER NEWS

CVE-2022-22620: En fortælling om Apples Safari Zombie Zero-Day

CVE-2022-22620: En fortælling om Apples Safari Zombie Zero-Day
CVE-2022-22620 er en sikkerhedssårbarhed i Apples Safari-browser, som er blevet udnyttet i naturen. Oprindeligt lappet ind 2013, fejlen dukkede op igen i december 2016, Maddie Stone fra Google Project Zero sagde i sin analyse.

Forskeren omtalte sårbarheden som en "zombie" Safari zero-day og hvordan det kom tilbage fra de døde for at blive afsløret som udnyttet i naturen 2022. CVE-2022-22620 blev oprindeligt rettet ind 2013, genindført i 2016, og derefter afsløret som udnyttet i naturen i 2022,” sagde hun.




CVE-2022-22620: Hvad skete der?

I henhold til den officielle tekniske beskrivelse, sårbarheden er en brug efter gratis problem rettet med forbedret hukommelsesstyring. Oprindeligt, det blev rettet i macOS Monterey 12.2.1, iOS 15.3.1 og iPadOS 15.3.1, Safari 15.3 (i. 16612.4.9.1.8 og 15612.4.9.1.8). Sårbarheden kan bruges til vilkårlig kodeudførelse i tilfælde af behandling af ondsindet webindhold.

“I dette tilfælde, varianten blev fuldstændig rettet, da sårbarheden oprindeligt blev rapporteret ind 2013. Men, varianten blev genindført tre år senere under store refaktoreringsbestræbelser. Sårbarheden fortsatte derefter med at eksistere for 5 år, indtil det blev fastsat som en in-the-wild nul-dag i januar 2022,” Stone skrev.

Det er bemærkelsesværdigt, at både 2013 og 2022 varianter af sårbarheden er de samme som i History API. Men, vejene til at udløse det er forskellige. Sårbarheden blev genoplivet igen efter nogle kodeændringer. Mere specifikt, forskerens analyse viser, at ”det skyldes oktober 2016 ændringer i HistoryItem:stateObject."

Moralen i denne sag er, at både kode og patches skal revideres tilstrækkeligt for at undgå duplikering af rettelser. Det er også meget vigtigt for udviklere at forstå sikkerhedspåvirkningerne af eventuelle ændringer, de implementerer i koden. Ifølge Stone, der omhyggeligt inspicerede begåelserne, både oktober og december 2016 dem var ret store.

"Forpligtelsen i oktober ændrede sig 40 filer med 900 tilføjelser og 1225 sletninger. Tilsagnet i december ændrede sig 95 filer med 1336 tilføjelser og 1325 sletninger. Det virker uholdbart for nogen udviklere eller anmeldere at forstå sikkerhedsimplikationerne af hver ændring i disse tilsagn i detaljer, især da de er relateret til livstidssemantik,” forskeren bemærkede.

I tilfælde af CVE-2022-22620-sårbarheden, 9 år efter, at det oprindeligt blev prøvet, lappet, testet, og frigivet, hele processen skulle duplikeres igen, men denne gang under presset af in-the-wild udnyttelse.
“Mens dette casestudie var en 0-dages i Safari/WebKit, dette er ikke et problem, der er unikt for Safari. Allerede i 2022, vi har set in-the-wild 0-dage, der er varianter af tidligere afslørede fejl rettet mod Chromium, Vinduer, Pixel, og iOS også. Det er en god påmindelse om, at vi som forsvarere alle skal være på vagt med at gennemgå og revidere kode og patches." konkluderede Stone.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig