Falha de segurança

Pesquisadores do Google detalham vulnerabilidade do Apple Safari

A falha de segurança vem sendo explorada há cinco anos

Jardeson Márcio
pesquisadores-do-google-detalham-vulnerabilidade-do-apple-safari

Equipe de pesquisadores do Google acabam de detalhar uma vulnerabilidade do Apple Safari, em exploração há um longo tempo. Essa falha de segurança no Safari foi explorada no início deste ano e, foi originalmente corrigida em 2013 e reintroduzida em dezembro de 2016, de acordo com um novo relatório do Google Project Zero.

Contents
Vulnerabilidade identificada no Apple SafariA falha de segurança

Vulnerabilidade identificada no Apple Safari

O problema, rastreado como CVE-2022-22620, com pontuação CVSS de 8,8, diz respeito a um caso de vulnerabilidade de uso após liberação no componente WebKit que pode ser explorada por um conteúdo da Web especialmente criado para obter execução arbitrária de código.

No início de fevereiro de 2022, a Apple enviou patches para o bug no Safari, iOS, iPadOS e macOS, reconhecendo que “pode ter sido ativamente explorado”. De acordo com Maddie Stone, do Google Project Zero: “Neste caso, a variante foi completamente corrigida quando a vulnerabilidade foi relatada inicialmente em 2013. No entanto, a variante foi reintroduzida três anos depois, durante grandes esforços de refatoração. A vulnerabilidade continuou a existir por 5 anos até ser corrigida como um dia zero em estado selvagem em janeiro de 2022.”

A falha de segurança

Embora os bugs de 2013 e 2022 na API de histórico sejam essencialmente os mesmos, os caminhos para acionar a vulnerabilidade são diferentes. Em seguida, as alterações de código subsequentes realizadas anos depois reviveram a falha do dia zero dos mortos como um “zumbi”.

Afirmando que o incidente não é exclusivo do Safari, Stone enfatizou ainda o tempo adequado para auditar o código e os patches para evitar instâncias de duplicação das correções e entender os impactos de segurança das alterações que estão sendo realizadas. “Tanto os commits de outubro de 2016 quanto os de dezembro de 2016 foram muito grandes. O commit em outubro alterou 40 arquivos com 900 adições e 1225 exclusões. O commit em dezembro alterou 95 arquivos com 1336 adições e 1325 exclusões”, observou a pesquisadora.

Stone disse ainda que, “Parece insustentável para qualquer desenvolvedor ou revisor entender as implicações de segurança de cada alteração nesses commits em detalhes, especialmente porque estão relacionadas à semântica da vida útil”.

Esse detalhamento da falha de segurança no Apple Safari chega até nós, meses depois que o problema foi finalmente corrigido. Então, não precisa se preocupar com a falha, a menos que o seu dispositivo não tenha sido atualizado. Esperamos que essa falha não retorne ao navegador da Apple mais uma vez.

TAGGED:
VIA:The Hacker News
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article O RCS é a solução para paridade entre Android e iOS
Next Article Depois de ser encerrado pela Microsoft, um coreano construiu uma lápide do Internet Explorer
Sair da versão mobile