Các nhà nghiên cứu cảnh báo về lỗ hổng Apple Safari tồn tại trong 5 năm có thể đã bị khai thác

Một lỗ hổng bảo mật trong Apple Safari đã bị khai thác vào đầu năm nay, ban đầu đã được vá vào năm 2013 và xuất hiện lại vào tháng 12 năm 2016 [theo báo cáo từ Google Project Zero].

Lỗ hổng có định danh CVE-2022-22620 (điểm CVSS: 8,8), liên quan đến lỗi use-after-free trong thành phần WebKit, có thể bị khai thác để thực thi mã tùy ý.

Vào đầu tháng 2 năm 2022, Apple đã phát hành các bản vá cho lỗ hổng này trên Safari, iOS, iPadOS và macOS, đồng thời thừa nhận rằng nó "có thể đã bị khai thác trong thực tế."

Maddie Stone của Google Project Zero cho biết "lỗ hổng đã được khắc phục khi được báo cáo lần đầu vào năm 2013". "Tuy nhiên, biến thể của nó đã được phát hiện vào ba năm sau đó. Nó tiếp tục tồn tại trong 5 năm dưới dạng lỗ hổng zero-day cho đến khi được khắc phục vào tháng 1 năm 2022."

Cả hai lỗ hổng được phát hiện vào năm 2013 và 2022 trong History API về cơ bản là giống nhau, nhưng các đường dẫn để kích hoạt lỗ hổng là khác nhau. Những thay đổi mã nguồn liên tiếp được thực hiện nhiều năm sau đó đã làm ‘sống lại’ lỗ hổng zero-day.

Stone nhấn mạnh rằng cần dành đủ thời gian để kiểm tra mã nguồn và các bản cập nhật để tránh phải sao chép các bản vá lỗi và hiểu các tác động bảo mật của các thay đổi đang được thực hiện.

Stone cho biết "hai lần commit vào tháng 10 năm 2016 và tháng 12 năm 2016 đều có sự thay đổi rất lớn: vào tháng 10 đã thay đổi 40 tệp với 900 lần bổ sung và 1225 lần xóa; vào tháng 12 đã thay đổi 95 tệp với 1336 lần bổ sung và 1325 lần xóa".

"Có vẻ như bất kỳ nhà phát triển hoặc người đánh giá nào cũng không thể hiểu chi tiết ý nghĩa bảo mật của từng thay đổi trong các commit đó".

Nguồn: thehackernews.com.