Esta es la tercera vez que Apple Safari parchea la misma vulnerabilidad que se descubrió originalmente en 2013, luego reapareció en 2016 después de una actualización de código, y ahora ha sido descubierto y reparado nuevamente., de acuerdo a un Informe del Proyecto Cero de Google.
Quizás también te interese leer acerca de cómo Fracasado Google experimento “rompió” Chrome en empresas de todo el mundo.
El problema en cuestión se rastrea como CVE-2022-22620 (cvss 8.8) y es un uso después de la liberación error en el componente WebKit. La vulnerabilidad podría usarse para ejecutar código arbitrario., y a principios de febrero 2022, Manzana parches lanzados para este problema en Safari, iOS, iPadOS, y MacOS, advirtiendo que la vulnerabilidad puede estar ya bajo ataque.
El año pasado, Stone ya escribió que una cuarta parte de todas las vulnerabilidades de día cero detectadas por Google Project Zero en 2022 eran estrechamente relacionado con antiguas vulnerabilidades que fueron divulgados públicamente. Como una regla, esto sucede debido a correcciones de errores incompletas.
Sin embargo, la situación con Safari es ligeramente diferente. En este caso, Apple solucionó completamente el problema en 2013, pero el parche era “dañado” en 2016, después de reestructurar el código.
El experto dijo que el original 2013 El problema y un error relacionado descubierto este año están relacionados con la API History y podrían explotarse utilizando contenido web especialmente diseñado para ejecutar código arbitrario de forma remota..
Según piedra, La refactorización de código es uno de los principales problemas que enfrentan los desarrolladores.. El hecho es que los desarrolladores y los equipos de seguridad necesitan tiempo para probar las correcciones., especialmente aquellos que están relacionados con la seguridad.
Deja un comentario