谷歌研究人员详细介绍了在野外利用的 5 年前的 Apple Safari 漏洞插图

稿源:TheHackerNews 中文化:游侠安全网

根据 Google Project Zero 的一份新报告,今年早些时候在野外利用的 Apple Safari 中的一个安全漏洞最初于 2013 年修复,并于 2016 年 12 月重新引入。

该问题被跟踪为 CVE-2022-22620(CVSS 评分:8.8),涉及 WebKit 组件中的一个释放后使用漏洞的案例,该漏洞可能被一段特制的 Web 内容利用以获取任意代码执行。

2022 年 2 月上旬,Apple 在 Safari、iOS、iPadOS 和 macOS 上发布了该漏洞的补丁,同时承认它“可能已被积极利用”。

“在这种情况下,该变体在 2013 年最初报告该漏洞时已完全修补,”谷歌零项目的 Maddie Stone 说。 “然而,该变体在三年后的大规模重构工作中被重新引入。该漏洞随后持续存在 5 年,直到 2022 年 1 月被修复为野生零日。”

虽然 History API 中 2013 年和 2022 年的 bug 基本相同,但触发漏洞的路径不同。然后几年后进行的后续代码更改使零日漏洞像“僵尸”一样从死里复活。

表示该事件并非 Safari 独有,Stone 进一步强调要花足够的时间来审核代码和补丁,以避免重复修复的情况,并了解正在执行的更改的安全影响。

“2016 年 10 月和 2016 年 12 月的提交都非常大。10 月的提交更改了 40 个文件,增加了 900 次,删除了 1225 次。12 月的提交更改了 95 个文件,增加了 1336 次,删除了 1325 次,”斯通指出。

“对于任何开发人员或审阅者来说,详细了解这些提交中每个更改的安全含义似乎都是站不住脚的,特别是因为它们与生命周期语义相关。”

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。