专家披露Apple Safari中的漏洞，已存在5年被在野利用

近期，谷歌Project Zero团队披露了Apple Safari浏览器中的漏洞，该漏洞编号CVE-2022-22620，它在2013年首次被修复。2016年再次被重新引入，近5年来持续在野外被积极利用。

漏洞详情

据悉，该漏洞编号 CVE-2022-22620（CVSS 评分：8.8），其核心是 WebKit 组件中的一个内存释放后再使用的漏洞，该漏洞可被一段特制的 Web 内容进行利用，可以获得任意代码执行的攻击效果。该漏洞影响 iOS、iPadOS、  macOS和 Safari ，可能已经被攻击者积极利用。

2022年2月Apple 发布的安全补丁对这个漏洞进行了修复。此外还发布安全公告，处理恶意制作的网页内容可能会导致任意代码执行。苹果也承认了漏洞近几年来可能已被积极利用的事实。

该漏洞由一位匿名研究人员报告，该公司通过改进内存管理解决了该问题。研究人员分析了这些年来软件的变化，她首先分析了  Apple 共享 的补丁代码以及安全公告中的问题描述， 指出该漏洞是免费使用后的漏洞。

研究人员表示，当进行根本原因分析时，除了研究代码，通常还会搜索提交历史记录和错误跟踪器，看看是否能找到任何相关的东西。这样做的目的是为了尝试了解何时引入了错误，同时也尝试节省时间。

研究人员注意到 2016 年 10 月和 2016 年 12 月的提交非常大，她发现 10 月的提交更改了 40 个文件，增加了 900 次，删除了 1225 次。12 月的提交更改了 95 个文件，增加了 1336 个，删除了 1325 个。

漏洞持续5年时间被利用

该漏洞于2013年就已经被发现并修复，在2016年的大规模代码重构工作中又被有意或无意地引入到主线代码中，导致了该漏洞在2016年之后的持续5年时间内一直存在，且被积极地利用。

这种情况不只有Safari出现过，很多软件都存在类似的问题。所以在开发流程和安全开发规范上需要优化，并且在代码审核和发布阶段进行详细的评估和测试。

开发人员面对这样的问题也很困扰，在大量的开发迭代任务中，要想已经修复的漏洞不被错误引入，这个问题很难解决。