CVE-2022-22620 é uma vulnerabilidade de segurança no navegador Safari da Apple que foi explorada em estado selvagem. Originalmente remendado em 2013, a falha ressurgiu em dezembro 2016, Maddie Stone do Google Project Zero disse em sua análise.
O pesquisador se referiu à vulnerabilidade como um Safari “zumbi” zero-day e como ele voltou dos mortos para ser divulgado como explorado em estado selvagem em 2022. CVE-2022-22620 foi inicialmente corrigido em 2013, reintroduzido em 2016, e, em seguida, divulgado como explorado na natureza em 2022”, disse ela.
CVE-2022-22620: O que aconteceu?
De acordo com a descrição técnica oficial, a vulnerabilidade é um uso após o problema gratuito corrigido com gerenciamento de memória aprimorado. Originalmente, foi corrigido no macOS Monterey 12.2.1, iOS 15.3.1 e iPadOS 15.3.1, Safári 15.3 (v. 16612.4.9.1.8 e 15612.4.9.1.8). A vulnerabilidade pode ser usada na execução de código arbitrário no caso de processamento de conteúdo da Web criado com códigos maliciosos.
“Nesse caso, a variante foi completamente corrigida quando a vulnerabilidade foi relatada inicialmente em 2013. Contudo, a variante foi reintroduzida três anos depois durante grandes esforços de refatoração. A vulnerabilidade então continuou a existir por 5 anos até que foi fixado como um dia zero selvagem em janeiro de 2022,” Stone escreveu.
Vale ressaltar que tanto o 2013 e a 2022 as variantes da vulnerabilidade são as mesmas da API History. Contudo, os caminhos para acioná-lo são diferentes. A vulnerabilidade foi ressuscitada novamente após algumas alterações de código. Mais especificamente, a análise da pesquisadora mostra que “é devido ao mês de outubro 2016 alterações no item de histórico:stateObject.”
A moral deste caso é que tanto o código quanto os patches devem ser auditados adequadamente para evitar a duplicação de correções. Também é muito importante que os desenvolvedores entendam os impactos de segurança de quaisquer alterações que implementem no código. De acordo com Stone, que inspecionou cuidadosamente os commits, tanto em outubro quanto em dezembro 2016 os eram bem grandes.
“O commit em outubro mudou 40 arquivos com 900 adições e 1225 exclusões. O commit em dezembro mudou 95 arquivos com 1336 adições e 1325 exclusões. Parece insustentável para quaisquer desenvolvedores ou revisores entender as implicações de segurança de cada alteração nesses commits em detalhes, especialmente porque eles estão relacionados à semântica vitalícia,” o investigador observar.
No caso da vulnerabilidade CVE-2022-22620, 9 anos depois de ter sido inicialmente triado, remendado, provado, e lançado, todo o processo teve que ser duplicado novamente, mas desta vez sob a pressão da exploração selvagem.
“Embora este estudo de caso tenha sido um dia 0 no Safari/WebKit, este não é um problema exclusivo do Safari. Ja entrou 2022, vimos 0 dias in-the-wild que são variantes de bugs divulgados anteriormente visando o Chromium, janelas, Pixel, e iOS também. É um bom lembrete de que, como defensores, todos nós precisamos ficar atentos ao revisar e auditar códigos e patches.“ Stone concluiu.