返回

谷歌研究人员详细描述了5年前在野外利用的苹果Safari漏洞

发布时间:2022-06-23 19:31:26 42
# 漏洞# 安全漏洞# 补丁# 缺陷
Apple Safari Vulnerability

根据谷歌零号项目(Google Project Zero)的一份新报告,今年早些时候在野外利用的苹果Safari中的一个安全漏洞最初于2013年修复,并于2016年12月重新引入。

该问题追踪为CVE-2022-22620(CVSS分数:8.8),涉及WebKit组件中释放后使用漏洞的情况,该漏洞可被精心编制的web内容利用以获得任意代码执行。

2022年2月初,苹果在Safari、iOS、iPadOS和macOS上发布了针对该漏洞的补丁,同时承认该漏洞“可能已被积极利用”

虽然历史API中2013年和2022年的漏洞基本相同,但触发该漏洞的路径不同。然后,数年后进行的后续代码更改像“僵尸”一样从死者那里恢复了零日缺陷

Stone指出,这起事件并非Safari独有,他进一步强调,要花足够的时间审核代码和补丁,以避免重复修复,并了解所执行更改的安全影响。

斯通指出:“2016年10月和2016年12月的提交量都非常大。10月的提交量更改了40个文件,增加了900个,删除了1225个。12月的提交量更改了95个文件,增加了1336个,删除了1325个。”。

“对于任何开发人员或审阅者来说,详细了解这些提交中每次更改的安全含义似乎都是站不住脚的,尤其是因为它们与生命周期语义相关。”

 

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线