CVE-2022-22620 è una vulnerabilità di sicurezza nel browser Safari di Apple che è stata sfruttata in natura. Originariamente rattoppato 2013, il difetto è riemerso a dicembre 2016, Maddie Stone di Google Project Zero ha detto nella sua analisi.
Il ricercatore ha definito la vulnerabilità un Safari "zombi". zero-day e come è tornato dai morti per essere rivelato come sfruttato in natura 2022. CVE-2022-22620 è stato inizialmente fissato 2013, reintrodotto in 2016, e poi divulgato come sfruttato in natura nel 2022", ha detto.
CVE-2022-22620: Quello che è successo?
Secondo la descrizione tecnica ufficiale, la vulnerabilità è un problema di utilizzo gratuito risolto con una migliore gestione della memoria. Originariamente, è stato risolto in macOS Monterey 12.2.1, iOS 15.3.1 e iPadOS 15.3.1, Safari 15.3 (in. 16612.4.9.1.8 e 15612.4.9.1.8). La vulnerabilità potrebbe essere utilizzata nell'esecuzione di codice arbitrario in caso di elaborazione di contenuti Web dannosi.
“In questo caso, la variante è stata completamente patchata quando la vulnerabilità è stata inizialmente segnalata 2013. Tuttavia, la variante è stata reintrodotta tre anni dopo durante grandi sforzi di refactoring. La vulnerabilità ha quindi continuato a esistere per 5 anni fino a quando non è stato fissato come zero-day in-the-wild nel gennaio 2022,” Stone ha scritto.
È interessante notare che sia il 2013 e la 2022 le varianti della vulnerabilità sono le stesse dell'API della cronologia. Tuttavia, i percorsi per attivarlo sono diversi. La vulnerabilità è stata ripristinata di nuovo dopo alcune modifiche al codice. Più specificamente, l'analisi del ricercatore mostra che “è dovuto all'ottobre 2016 modifiche in HistoryItem:stateObject.”
Il morale di questo caso è che sia il codice che le patch dovrebbero essere controllati adeguatamente per evitare la duplicazione delle correzioni. È anche molto importante che gli sviluppatori comprendano l'impatto sulla sicurezza di tutte le modifiche che implementano al codice. Secondo Stone che ha ispezionato attentamente i commit, sia ottobre che dicembre 2016 quelli erano abbastanza grandi.
“Il commit di ottobre è cambiato 40 file con 900 aggiunte e 1225 eliminazioni. Il commit di dicembre è cambiato 95 file con 1336 aggiunte e 1325 eliminazioni. Sembra insostenibile per qualsiasi sviluppatore o revisore comprendere in dettaglio le implicazioni sulla sicurezza di ogni modifica in quei commit, soprattutto perché sono legati alla semantica a vita,” il ricercatore ha osservato.
Nel caso della vulnerabilità CVE-2022-22620, 9 anni dopo essere stato inizialmente triageto, rattoppato, testato, e rilasciato, l'intero processo doveva essere duplicato di nuovo, ma questa volta sotto la pressione dello sfruttamento in natura.
“Mentre questo caso di studio è stato un giorno 0 in Safari/WebKit, questo non è un problema esclusivo di Safari. Già dentro 2022, abbiamo visto 0 giorni in natura che sono varianti di bug precedentemente divulgati che prendono di mira Chromium, Windows, Pixel, e anche iOS. È un buon promemoria del fatto che come difensori dobbiamo tutti rimanere vigili nella revisione e nell'auditing del codice e delle patch.“ Stone ha concluso.