CVE-2022-22620 es una vulnerabilidad de seguridad en el navegador Safari de Apple que se ha explotado en la naturaleza. Originalmente parcheado en 2013, la falla resurgió en diciembre 2016, Maddie Stone de Google Project Zero dijo en su análisis.
El investigador se refirió a la vulnerabilidad como un Safari “zombie” Día cero y cómo volvió de entre los muertos para ser revelado como explotado en estado salvaje en 2022. CVE-2022-22620 se arregló inicialmente en 2013, reintroducido en 2016, y luego divulgado como explotado en estado salvaje en 2022”, dijo..
CVE-2022-22620: Que pasó?
Según la descripción técnica oficial, la vulnerabilidad es un uso después de un problema gratuito solucionado con una gestión de memoria mejorada. Originalmente, se arregló en macOS Monterey 12.2.1, iOS 15.3.1 y iPadOS 15.3.1, Safari 15.3 (en. 16612.4.9.1.8 y 15612.4.9.1.8). La vulnerabilidad podría usarse en la ejecución de código arbitrario en caso de procesar contenido web creado con fines maliciosos.
“En este caso, la variante estaba completamente parcheada cuando la vulnerabilidad se informó inicialmente en 2013. Sin embargo, la variante se reintrodujo tres años después durante grandes esfuerzos de refactorización. La vulnerabilidad entonces siguió existiendo para 5 años hasta que se fijó como un día cero salvaje en enero de 2022,” piedra escribió.
Es de destacar que tanto el 2013 y el 2022 las variantes de la vulnerabilidad son las mismas que las de la API de historial. Sin embargo, los caminos para activarlo son diferentes. La vulnerabilidad resucitó nuevamente después de algunos cambios en el código.. Más específicamente, el análisis del investigador muestra que “se debe al mes de octubre 2016 cambios en HistoryItem:objeto de estado.”
La moraleja de este caso es que tanto el código como los parches deben auditarse adecuadamente para evitar la duplicación de correcciones.. También es muy importante que los desarrolladores comprendan los impactos de seguridad de cualquier cambio que implementen en el código.. Según Stone, quien inspeccionó cuidadosamente los compromisos, tanto en octubre como en diciembre 2016 unos eran bastante grandes.
“El compromiso en octubre cambió 40 archivos con 900 adiciones y 1225 eliminaciones. El compromiso en diciembre cambió 95 archivos con 1336 adiciones y 1325 eliminaciones. Parece insostenible que los desarrolladores o revisores entiendan en detalle las implicaciones de seguridad de cada cambio en esos compromisos., especialmente porque están relacionados con la semántica de por vida,” el investigador observó.
En el caso de la vulnerabilidad CVE-2022-22620, 9 años después de que se evaluó inicialmente, parcheado, probado, y liberado, todo el proceso tuvo que ser duplicado de nuevo, pero esta vez bajo la presión de la explotación salvaje.
“Si bien este estudio de caso fue un día cero en Safari/WebKit, este no es un problema exclusivo de Safari. Ya estoy en eso 2022, hemos visto 0-días en estado salvaje que son variantes de errores previamente revelados dirigidos a Chromium, Ventanas, pixel, y iOS también. Es un buen recordatorio de que, como defensores, todos debemos estar atentos a la hora de revisar y auditar el código y los parches”. piedra concluyó.