Apple Safari가 원래 발견된 것과 동일한 취약점을 패치하는 것은 이번이 세 번째입니다. 2013, 그러다가 다시 나타났다 2016 코드 업데이트 후, 이제 다시 발견되어 수정되었습니다., 에 따르면 구글 프로젝트 제로 보고서.
당신은 또한 실패 Google 전 세계 기업에서 Chrome을 '깨뜨린' 실험.
매디 스톤
문제의 문제는 다음과 같이 추적됩니다. CVE-2022-22620 (CVSS 8.8) 그리고는 무료 후 사용 WebKit 구성 요소의 버그. 이 취약점은 임의 코드를 실행하는 데 사용될 수 있습니다., 그리고 2월 초 2022, 사과 Safari에서 이 문제에 대한 패치가 출시되었습니다., iOS, 아이패드OS, 그리고 macOS, 취약점이 이미 공격을 받고 있을 수 있다는 경고.
거의 중반이네요 2022, 그리고 우리는 이러한 "좀비 취약점"에 대한 추세를 보고 있는 것 같습니다.. 공격자는 사용자를 효과적으로 공격하기 위해 새로운 버그가 필요하지 않습니다. 0-낮, 대신 이전에 발견된 버그와 밀접하게 관련된 취약점을 악용할 수 있습니다..쓴다 매디 스톤, Google Project Zero 팀의 수석 연구원.
작년, Stone은 이미 Google Project Zero가 발견한 모든 제로데이 취약점 중 4분의 1이 2022 ~이었다 오래된 취약점과 밀접한 관련이 있음 공개적으로 공개된 것. 원칙적으로, 이는 불완전한 버그 수정으로 인해 발생합니다..
하지만, Safari의 상황은 약간 다릅니다. 이 경우, Apple은 문제를 완전히 해결했습니다. 2013, 하지만 패치는 “손상된” ~에 2016, 코드를 재구성한 후.
공격자가 이 취약점을 얼마나 오랫동안 악용했는지는 알 수 없습니다., 하지만 코드에 취약점이 존재하는 것으로 알려져 있습니다. (다시) 5년 동안: 12월부터 2016 1월까지 2022.스톤은 쓴다.
전문가는 원본이 2013 올해 발견된 문제 및 관련 버그는 History API와 관련되어 있으며 특별히 제작된 웹 콘텐츠를 사용하여 원격으로 임의 코드를 실행하는 데 악용될 수 있습니다..
이는 동일한 오류입니다., 하지만 그 트리거링은 다른 방식으로 이루어집니다.. 이것이 바로 2013 테스트 케이스는 취약해야 하는 WebKit 버전을 충돌시키지 않았습니다. CVE-2022-22620.연구원이 설명했다.
스톤에 따르면, 코드 리팩토링은 개발자가 직면하는 주요 문제 중 하나입니다.. 사실 개발자와 보안팀은 수정 사항을 테스트하는 데 시간이 필요합니다., 특히 보안과 관련된 것.
이 경우, 취약점이 분류된 지 9년 후, 결정된, 테스트를 거쳐 출시된 패치, 전체 과정을 다시 반복해야 했습니다., 이번에는 지속적인 착취의 압력을 받고 있습니다..스톤 요약.
코멘트를 남겨주세요