CVE-2022-22620 est une vulnérabilité de sécurité du navigateur Safari d'Apple qui a été exploitée à l'état sauvage. Patché à l'origine 2013, la faille est réapparue en décembre 2016, Maddie Stone de Google Project Zero a déclaré dans son analyse.
Le chercheur a qualifié la vulnérabilité de Safari "zombie" zero-day et comment il est revenu d'entre les morts pour être révélé comme exploité dans la nature dans 2022. CVE-2022-22620 a été initialement corrigé en 2013, réintroduit dans 2016, puis divulgués comme exploités dans la nature en 2022 », a-t-elle déclaré.
CVE-2022-22620: Qu'est-il arrivé?
Selon la description technique officielle, la vulnérabilité est une utilisation après un problème gratuit corrigé avec une gestion de la mémoire améliorée. Initialement, il a été corrigé dans macOS Monterey 12.2.1, iOS 15.3.1 et iPadOS 15.3.1, Safari 15.3 (à. 16612.4.9.1.8 et 15612.4.9.1.8). La vulnérabilité pourrait être utilisée dans l'exécution de code arbitraire en cas de traitement de contenu Web conçu de manière malveillante.
“Dans ce cas, la variante a été complètement corrigée lorsque la vulnérabilité a été initialement signalée dans 2013. Cependant, la variante a été réintroduite trois ans plus tard lors d'importants efforts de refactorisation. La vulnérabilité a ensuite continué d'exister pendant 5 ans jusqu'à ce qu'il soit fixé comme un jour zéro sauvage en janvier 2022,” Pierre a écrit.
Il est à noter que les deux 2013 et l' 2022 les variantes de la vulnérabilité sont les mêmes que celles de l'API History. Cependant, les chemins pour le déclencher sont différents. La vulnérabilité a été ressuscitée après quelques modifications de code. Plus précisement, l'analyse du chercheur montre que "c'est dû au mois d'octobre 2016 changements dans HistoryItem:étatObjet. »
Le moral de ce cas est que le code et les correctifs doivent être audités de manière adéquate pour éviter la duplication des correctifs. Il est également très important pour les développeurs de comprendre les impacts sur la sécurité de toute modification qu'ils implémentent sur le code.. Selon Stone qui a soigneusement inspecté les commits, aussi bien en octobre qu'en décembre 2016 ceux étaient assez grands.
"Le commit d'octobre a changé 40 fichiers avec 900 ajouts et 1225 suppressions. Le commit de décembre a changé 95 fichiers avec 1336 ajouts et 1325 suppressions. Il semble intenable pour les développeurs ou les réviseurs de comprendre en détail les implications en matière de sécurité de chaque modification de ces commits., d'autant plus qu'ils sont liés à la sémantique de la durée de vie,” le chercheur a noté.
Dans le cas de la vulnérabilité CVE-2022-22620, 9 ans après qu'il a été initialement trié, patché, examiné, et libéré, l'ensemble du processus a dû être dupliqué à nouveau, mais cette fois sous la pression de l'exploitation sauvage.
"Alors que cette étude de cas était un 0-day dans Safari/WebKit, ce n'est pas un problème propre à Safari. Déjà là 2022, nous avons vu des 0 jours dans la nature qui sont des variantes de bogues précédemment divulgués ciblant Chromium, Fenêtres, pixel, et iOS aussi. C'est un bon rappel qu'en tant que défenseurs, nous devons tous rester vigilants dans l'examen et l'audit du code et des correctifs.“ Pierre conclue.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: