CVE-2022-22620 è una vulnerabilità di sicurezza nel browser Safari di Apple che è stata sfruttata in natura. Originariamente rattoppato 2013, il difetto è riemerso a dicembre 2016, Maddie Stone di Google Project Zero ha detto nella sua analisi.
Il ricercatore ha definito la vulnerabilità un Safari "zombi". zero-day e come è tornato dai morti per essere rivelato come sfruttato in natura 2022. CVE-2022-22620 è stato inizialmente fissato 2013, reintrodotto in 2016, e poi divulgato come sfruttato in natura nel 2022", ha detto.
CVE-2022-22620: Quello che è successo?
Secondo la descrizione tecnica ufficiale, la vulnerabilità è un problema di utilizzo gratuito risolto con una migliore gestione della memoria. Originariamente, è stato risolto in macOS Monterey 12.2.1, iOS 15.3.1 e iPadOS 15.3.1, Safari 15.3 (in. 16612.4.9.1.8 e 15612.4.9.1.8). La vulnerabilità potrebbe essere utilizzata nell'esecuzione di codice arbitrario in caso di elaborazione di contenuti Web dannosi.
“In questo caso, la variante è stata completamente patchata quando la vulnerabilità è stata inizialmente segnalata 2013. Tuttavia, la variante è stata reintrodotta tre anni dopo durante grandi sforzi di refactoring. La vulnerabilità ha quindi continuato a esistere per 5 anni fino a quando non è stato fissato come zero-day in-the-wild nel gennaio 2022,” Stone ha scritto.
È interessante notare che sia il 2013 e la 2022 le varianti della vulnerabilità sono le stesse dell'API della cronologia. Tuttavia, i percorsi per attivarlo sono diversi. La vulnerabilità è stata ripristinata di nuovo dopo alcune modifiche al codice. Più specificamente, l'analisi del ricercatore mostra che “è dovuto all'ottobre 2016 modifiche in HistoryItem:stateObject.”
Il morale di questo caso è che sia il codice che le patch dovrebbero essere controllati adeguatamente per evitare la duplicazione delle correzioni. È anche molto importante che gli sviluppatori comprendano l'impatto sulla sicurezza di tutte le modifiche che implementano al codice. Secondo Stone che ha ispezionato attentamente i commit, sia ottobre che dicembre 2016 quelli erano abbastanza grandi.
“Il commit di ottobre è cambiato 40 file con 900 aggiunte e 1225 eliminazioni. Il commit di dicembre è cambiato 95 file con 1336 aggiunte e 1325 eliminazioni. Sembra insostenibile per qualsiasi sviluppatore o revisore comprendere in dettaglio le implicazioni sulla sicurezza di ogni modifica in quei commit, soprattutto perché sono legati alla semantica a vita,” il ricercatore ha osservato.
Nel caso della vulnerabilità CVE-2022-22620, 9 anni dopo essere stato inizialmente triageto, rattoppato, testato, e rilasciato, l'intero processo doveva essere duplicato di nuovo, ma questa volta sotto la pressione dello sfruttamento in natura.
“Mentre questo caso di studio è stato un giorno 0 in Safari/WebKit, questo non è un problema esclusivo di Safari. Già dentro 2022, abbiamo visto 0 giorni in natura che sono varianti di bug precedentemente divulgati che prendono di mira Chromium, Windows, Pixel, e anche iOS. È un buon promemoria del fatto che come difensori dobbiamo tutti rimanere vigili nella revisione e nell'auditing del codice e delle patch.“ Stone ha concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: