«Зомбиязвимость»
Эксперты Google Project Zero опубликовали подробности о баге в браузере Safari (в движке WebKit), который, как выяснилось, уже исправляли почти десять лет назад. Однако в 2016 г. его по ошибке вернули в код и уже только в 2022 г. присвоили индекс CVE. Хакеры активно эксплуатировали эту уязвимость, прежде чем Apple ее исправила.
CVE-2022-22620 представляет собой ошибку использования выделенной ячейки памяти после ее освобождения - use-after-free. При обработке специально подготовленного веб-контента можно достичь запуска произвольного кода. Уязвимость получила оценку 8,8 балла по шкале CVSS. Она затрагивает версии WebKit под iOS, iPadOS и macOS.
Apple выпустила обновления против этого бага еще в феврале 2022 г. Тогда же в компании заявляли, что уязвимость может уже активно эксплуатироваться хакерами, причем никто не знает, как давно.
В 2013 г. Apple выпустила обновления, полностью устранявшее ту же уязвимость. На тот момент ей даже не присваивался индекс CVE.
В 2016 г., в октябре и декабре, в ходе процедур рефакторинга в WebKit были внесены массивные изменения, в результате чего старая исправленная уязвимость снова оказалась в коде. Только через пять лет на нее снова обратили внимание, когда злоумышленники начали ею пользоваться.
Другим путем
В техническом анализе Google Project Zero указывается, что CVE-2022-22620 - это точно та же самая ошибка, которую исправляли в 2013 г., но теперь для ее эксплуатации требуется несколько иной подход.
Информации о конкретных атаках и их последствиях пока нет. Поскольку исправления на устройства Apple накатываются централизованно, есть вероятность, что большая часть поддерживаемых устройств уже в безопасности.
«Возвращение старых ошибок в код, как правило, связано с использованием каких-либо сторонних библиотек: по-видимому, при рефакторинге воспользовались не той версией, и ошибка снова очутилась в коде, - полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Вероятно, никому в Apple не приходило в голову проверять WebKit на наличие уже исправленной уязвимости. Хакеры, скорее всего, нашли ее по чистой случайности. Теперь, правда, у них появился повод пройтись по другим старым уязвимостям в надежде, что какие-то из них тоже восстали из мертвых».
Авторы исследования Google Project Zero отметили, что с начала 2022 г. уже неоднократно наблюдались уязвимости нулевого дня в Chromium, Windows, Pixel и iOS, которые оказывались вариантами уже ранее выявленных и исправленных багов.