CVE-2022-22620 is een beveiligingsprobleem in de Safari-browser van Apple dat in het wild is uitgebuit. Oorspronkelijk gepatcht 2013, de fout dook opnieuw op in december 2016, Maddie Stone van Google Project Zero zei in haar analyse:.
De onderzoeker noemde de kwetsbaarheid een "zombie" Safari zero-day en hoe het uit de dood terugkwam om te worden onthuld als in het wild uitgebuit in 2022. CVE-2022-22620 was aanvankelijk vastgesteld in 2013, opnieuw geïntroduceerd in 2016, en vervolgens onthuld als in het wild geëxploiteerd in 2022,” zei ze.
CVE-2022-22620: Wat is er gebeurd?
Volgens de officiële technische beschrijving, het beveiligingslek is een 'use after free'-probleem opgelost met verbeterd geheugenbeheer. Oorspronkelijk, het is opgelost in macOS Monterey 12.2.1, iOS 15.3.1 en iPadOS 15.3.1, Safari 15.3 (in. 16612.4.9.1.8 en 15612.4.9.1.8). Het beveiligingslek kan worden gebruikt bij het uitvoeren van willekeurige code bij het verwerken van kwaadwillig vervaardigde webinhoud.
“In dit geval, de variant was volledig gepatcht toen de kwetsbaarheid voor het eerst werd gemeld in 2013. Echter, de variant werd drie jaar later opnieuw geïntroduceerd tijdens grote refactoring-inspanningen. De kwetsbaarheid bleef toen bestaan voor: 5 jaar totdat het werd vastgesteld als een in-the-wild zero-day in januari 2022,” Stone schreef:.
Het is opmerkelijk dat zowel de 2013 en 2022 varianten van de kwetsbaarheid zijn hetzelfde als in de History API. Echter, de paden om het te activeren zijn anders. De kwetsbaarheid is na enkele codewijzigingen weer tot leven gewekt. Specifieker, de analyse van de onderzoeker laat zien dat “het komt door de oktober 2016 wijzigingen in GeschiedenisItem:staatObject.”
De moraal van deze zaak is dat zowel code als patches adequaat moeten worden gecontroleerd om dubbele fixes te voorkomen. Het is ook erg belangrijk voor ontwikkelaars om de beveiligingsimpact te begrijpen van eventuele wijzigingen die ze in de code doorvoeren. Volgens Stone die de commits zorgvuldig heeft geïnspecteerd, zowel oktober als december 2016 die waren behoorlijk groot.
“De commit in oktober is veranderd 40 bestanden met 900 toevoegingen en 1225 verwijderingen. De commit in december is gewijzigd 95 bestanden met 1336 toevoegingen en 1325 verwijderingen. Het lijkt onhoudbaar voor ontwikkelaars of reviewers om de beveiligingsimplicaties van elke wijziging in die commits in detail te begrijpen, vooral omdat ze gerelateerd zijn aan levenslange semantiek,” de onderzoeker genoteerd.
In het geval van de kwetsbaarheid CVE-2022-22620, 9 jaar nadat het in eerste instantie werd getrieerd, versteld, getest, en vrijgelaten, het hele proces moest opnieuw worden gedupliceerd, maar deze keer onder druk van in-the-wild-uitbuiting.
“Hoewel deze casestudy een 0-dag was in Safari/WebKit, dit is geen uniek probleem voor Safari. Al in 2022, we hebben in-the-wild 0-dagen gezien die varianten zijn van eerder onthulde bugs die gericht zijn op Chromium, Windows, Pixel, en ook iOS. Het is een goede herinnering dat we als verdedigers allemaal waakzaam moeten blijven bij het beoordelen en controleren van code en patches.“ Stone concludeerde.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: