Google Project Zero’nun yeni bir raporuna göre, Apple Safari’de bu yılın başlarında vahşi ortamda istismar edilen bir güvenlik açığı ilk olarak 2013’te düzeltildi ve Aralık 2016’da yeniden tanıtıldı.
CVE-2022-22620 (CVSS puanı: 8.8) olarak izlenen sorun, WebKit bileşeninde, isteğe bağlı kod yürütme elde etmek için özel olarak hazırlanmış bir web içeriği tarafından kullanılabilecek, ücretsiz kullanım sonrası bir güvenlik açığı durumuyla ilgilidir.
Şubat 2022’nin başlarında Apple, Safari, iOS, iPadOS ve macOS genelinde hata için düzeltme ekleri gönderirken, “aktif olarak istismar edilmiş olabileceğini” kabul etti.
Google Project Zero’dan Maddie Stone, “Bu durumda, güvenlik açığı ilk olarak 2013’te bildirildiğinde, varyant tamamen yamalandı.” söz konusu. “Ancak, varyant üç yıl sonra büyük yeniden düzenleme çabaları sırasında yeniden tanıtıldı. Daha sonra güvenlik açığı, Ocak 2022’de vahşi sıfır gün olarak düzeltilene kadar 5 yıl boyunca varlığını sürdürdü.”
Her ikisi de iken 2013 ve 2022 içindeki hatalar Geçmiş API’si temelde aynıdır, güvenlik açığını tetikleme yolları farklıdır. Ardından, yıllar sonra yapılan sonraki kod değişiklikleri, sıfır gün kusurunu bir “zombi” gibi ölümden diriltti.
Olayın Safari’ye özgü olmadığını belirten Stone, düzeltmelerin tekrarlanmasını önlemek ve gerçekleştirilen değişikliklerin güvenlik üzerindeki etkilerini anlamak için kod ve yamaları denetlemek için yeterli zaman ayırmanın da altını çizdi.
Stone, “Hem Ekim 2016 hem de Aralık 2016 taahhütleri çok büyüktü. Ekim ayındaki taahhüt, 900 ekleme ve 1225 silme ile 40 dosyayı değiştirdi. Aralık ayındaki taahhüt, 1336 ekleme ve 1325 silme ile 95 dosyayı değiştirdi” dedi.
“Herhangi bir geliştiricinin veya gözden geçirenin, özellikle ömür boyu anlambilimle ilgili olduklarından, bu taahhütlerdeki her değişikliğin güvenlik sonuçlarını ayrıntılı olarak anlaması savunulamaz görünüyor.”