بر اساس گزارش جدید Google Project Zero، این نقص امنیتی در Apple Safari که در اوایل سال جاری مورد سوءاستفاده قرار گرفته بود، درواقع در ابتدا در سال 2013 برطرف شد اما مجددا در دسامبر 2016 کشف و معرفی شد.
این نقص که با شناسه CVE-2022-22620 دنبال میشود (امتیاز CVSS: 8.8)، مربوط به یک آسیبپذیری در مؤلفه WebKit است که میتواند برای اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
در اوایل فوریه 2022، اپل وصلههایی را در حالی که اذعان داشت که این آسیبپذیری ممکن است مورد استفاده قرار گرفته باشد، برای تمام نسخههای سافاری، iOS، iPadOS و macOS منتشر کرد.
در حالی که هر دو باگ 2013 و 2022 در History API اساساً یکسان هستند، اما مسیرهای ایجاد این آسیبپذیری متفاوت است. سپس تغییرات کد بعدی که سالها بعد انجام شد، این نقص Zero-Day را مانند یک زامبی از دنیای مردگان زنده کرد.
استون با بیان اینکه این حادثه منحصر به سافاری نیست، همچنین بر صرف زمان کافی برای ممیزی کدها و وصلهها برای جلوگیری از مواردی مشابه و درک تأثیرات امنیتی تغییرات انجام شده تأکید کرد.
این نقص که با شناسه CVE-2022-22620 دنبال میشود (امتیاز CVSS: 8.8)، مربوط به یک آسیبپذیری در مؤلفه WebKit است که میتواند برای اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
در اوایل فوریه 2022، اپل وصلههایی را در حالی که اذعان داشت که این آسیبپذیری ممکن است مورد استفاده قرار گرفته باشد، برای تمام نسخههای سافاری، iOS، iPadOS و macOS منتشر کرد.
در حالی که هر دو باگ 2013 و 2022 در History API اساساً یکسان هستند، اما مسیرهای ایجاد این آسیبپذیری متفاوت است. سپس تغییرات کد بعدی که سالها بعد انجام شد، این نقص Zero-Day را مانند یک زامبی از دنیای مردگان زنده کرد.
استون با بیان اینکه این حادثه منحصر به سافاری نیست، همچنین بر صرف زمان کافی برای ممیزی کدها و وصلهها برای جلوگیری از مواردی مشابه و درک تأثیرات امنیتی تغییرات انجام شده تأکید کرد.