CVE-2022-22620は、AppleのSafariブラウザのセキュリティの脆弱性であり、実際に悪用されています。. もともとパッチが適用されています 2013, 欠陥は12月に再出現しました 2016, Google ProjectZeroのMaddieStoneは、彼女の分析で述べています.
研究者はこの脆弱性を「ゾンビ」サファリと呼びました ゼロデイ そして、それが死者の中からどのように戻ってきたのか、 2022. CVE-2022-22620は当初修正されました 2013, で再導入 2016, その後、2022年に野外で搾取されたものとして開示されました」と彼女は言いました。.
CVE-2022-22620: どうした?
公式の技術的説明によると, この脆弱性は、メモリ管理の改善により修正された無料の問題の後の使用です。. 元は, macOSMontereyで修正されました 12.2.1, iOS 15.3.1 およびiPadOS 15.3.1, サファリ 15.3 (v. 16612.4.9.1.8 と 15612.4.9.1.8). この脆弱性は、悪意を持って作成されたWebコンテンツを処理する場合に、任意のコードが実行される可能性があります。.
“この場合, 脆弱性が最初に報告されたときに、バリアントに完全にパッチが適用されました 2013. でも, バリアントは、3年後の大規模なリファクタリング作業中に再導入されました. その後、脆弱性は 5 2022年1月に野生のゼロデイとして修正されるまでの数年間、” ストーンは書いた.
両方が 2013 そしてその 2022 脆弱性の亜種は、HistoryAPIと同じです。. でも, それをトリガーするパスは異なります. いくつかのコード変更後、脆弱性が再び復活しました. すなわち, 研究者の分析によると、「それは10月のせいです。 2016 HistoryItemの変更:stateObject。」
この場合の士気は、修正の重複を避けるために、コードとパッチの両方を適切に監査する必要があるということです。. また、開発者がコードに実装する変更がセキュリティに与える影響を理解することも非常に重要です。. コミットを注意深く調べたストーンによると, 10月と12月の両方 2016 かなり大きかった.
「10月のコミットは変更されました 40 のファイル 900 追加と 1225 削除. 12月のコミットが変更されました 95 のファイル 1336 追加と 1325 削除. 開発者やレビュー担当者が、これらのコミットにおける各変更のセキュリティへの影響を詳細に理解することは不可能のようです。, 特に生涯セマンティクスに関連しているため,” 研究者は指摘した.
CVE-2022-22620の脆弱性の場合, 9 最初にトリアージされてから数年, パッチを当てる, テスト済み, とリリース, プロセス全体を再度複製する必要がありました, しかし今回は、野外での搾取の圧力の下で.
「このケーススタディはSafari/WebKitでのゼロデイ攻撃でしたが, これはSafariに固有の問題ではありません. すでに 2022, Chromiumを標的とした以前に開示されたバグの亜種であるゼロデイ攻撃を見てきました, ウィンドウズ, ピクセル, とiOSも. 防御側として、コードとパッチのレビューと監査に注意を払う必要があることを忘れないでください。」 ストーンは結論を出しました.