-Bug Berusia Setahun di Apple Safari Dieksploitasi di Alam Liar

  • Whatsapp
-Bug Berusia Setahun di Apple Safari Dieksploitasi di Alam Liar
Bug Berusia Setahun di Apple Safari Dieksploitasi di Alam Liar
Bug Berusia 5 Tahun di Apple

Eksploitasi aktif di alam liar untuk kerentanan di browser web Apple Safari telah diungkapkan secara publik oleh tim Google Project Zero.

CVE-2022-22620 adalah nomor yang ditetapkan untuk kerentanan. Pada 2016, para ahli telah menemukan cara untuk melewati perbaikan yang diterapkan kembali pada tahun 2013. Sejak cacat itu pertama kali ditemukan dan diperbaiki pada tahun 2013.

Ini adalah kerentanan zero-day “CVE-2022-22620” yang telah mencapai skor CVSS 8,8 dan telah ditandai dengan tag “Keparahan Tinggi”.

CVE-2022-22620 adalah kasus kerentanan penggunaan setelah bebas di WebKit, yang memengaruhi mesin rendering browser. Seorang penyerang dapat mengeksploitasi kelemahan zero-day ini dengan membuat konten web yang dibuat dengan jahat untuk mendapatkan kemampuan untuk mengeksekusi kode arbitrer.

Analisis Teknis

Apple mengirimkan tambalan untuk bug pada awal Februari 2022 di semua platformnya yang mencakup: –

Dalam hal kegunaan History API pada tahun 2013 dan 2022, kedua bug memiliki beberapa kesamaan yang signifikan. Meskipun demikian, metode eksploitasi mereka berbeda satu sama lain.

Setelah perubahan ini, cacat zero-day dihidupkan kembali dengan cara seperti zombie beberapa tahun setelah menjadi tidak aktif. Sementara Maddie Stone dari Google Project Zero mengungkapkan bahwa masalah ini bukan hal yang aneh bagi Safari.

Dia lebih lanjut menekankan perlunya meluangkan waktu yang diperlukan untuk menganalisis kode dan patch sehingga ada lebih sedikit contoh di mana perbaikan duplikat diperlukan dan efek dari perubahan pada keamanan sistem kami lebih dipahami.

Inilah yang dikatakan Maddie Stone dari Google Project Zero: –

“Baik komitmen Oktober 2016 dan Desember 2016 sangat besar. Komit pada bulan Oktober mengubah 40 file dengan 900 tambahan dan 1225 penghapusan. Komit pada bulan Desember mengubah 95 file dengan 1336 penambahan dan 1325 penghapusan. Tampaknya tidak dapat dipertahankan bagi pengembang atau pengulas mana pun untuk memahami implikasi keamanan dari setiap perubahan dalam komitmen tersebut secara rinci, terutama karena mereka terkait dengan semantik seumur hidup.”

Pertanyaan tentang apa yang seharusnya dilakukan secara berbeda adalah pertanyaan yang tidak dapat dijawab dengan mudah. Karena beberapa praktik terbaik telah diterapkan oleh pakar keamanan yang menanggapi versi asli 2013 laporan bug.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.