Chuyên gia bảo mật Google chỉ ra lỗ hổng bảo mật trên Apple Safari đến 5 năm tuổi

www.tuoitre.vn -   20/06/2022 08:00:00 986

Theo báo cáo Google Project Zero mới nhất, một lỗ hổng bảo mật trong Apple Safari đã được khai thác vào đầu năm nay, ban đầu đã được sửa vào năm 2013 và xuất hiện lại tháng 12 năm 2016.

Chuyên gia bảo mật Google chỉ ra lỗ hổng bảo mật trên Apple Safari đến 5 năm tuổi

Lỗ hổng được theo dõi dưới mã CVE-2022-22620 (điểm CVSS: 8,8), liên quan đến use-after-free trong thành phần WebKit có thể bị khai thác bởi một phần nội dung web được chế tạo đặc biệt để thực thi mã tùy ý.

Vào đầu tháng 2 năm 2022, Apple đã gửi các bản vá cho lỗi này trên Safari, iOS, iPadOS và macOS, đồng thời thừa nhận rằng nó "có thể đã bị khai thác tích cực."

"Trong trường hợp này, biến thể đã được vá hoàn toàn khi lỗ hổng bảo mật lần đầu được báo cáo vào năm 2013", Maddie Stone của Google Project Zero cho biết. "Tuy nhiên, biến thể này đã được giới thiệu lại ba năm sau đó trong những nỗ lực tái cấu trúc lớn. Lỗ hổng bảo mật sau đó tiếp tục tồn tại trong 5 năm cho đến khi nó được sửa chữa dưới dạng 0 ngày hoang dã vào tháng 1 năm 2022."

Mặc dù cả hai lỗi 2013 và 2022 trong API Lịch sử về cơ bản là giống nhau, nhưng các đường dẫn để kích hoạt lỗ hổng bảo mật là khác nhau. Sau đó, những thay đổi mã tiếp theo được thực hiện nhiều năm sau đó đã làm sống lại lỗ hổng zero-day từ cõi chết giống như một "thây ma".

Nói rõ sự cố không phải là duy nhất đối với Safari, Stone nhấn mạnh thêm rằng cần dành đủ thời gian để kiểm tra mã và các bản vá để tránh các trường hợp trùng lặp các bản sửa lỗi và hiểu các tác động bảo mật của các thay đổi đang được thực hiện.

"Cả cam kết tháng 10 năm 2016 và tháng 12 năm 2016 đều rất lớn. Cam kết vào tháng 10 đã thay đổi 40 tệp với 900 lần bổ sung và 1225 lần xóa. Lần cam kết vào tháng 12 đã thay đổi 95 tệp với 1336 lần bổ sung và 1325 lần xóa", Stone lưu ý.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Các cuộc tấn công ransomware tiếp tục nh...

21/11/2024 08:00:00 402
Từ tháng 1 đến tháng 6 năm 2024, các giải pháp an ninh mạng cho doanh nghiệp của Kaspersky đã phát h...

Các mối đe dọa an ninh mạng tại Việt Nam...

20/11/2024 08:00:00 421
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. C...

Nhóm tin tặc Lazarus khai thác lỗ hổng z...

07/11/2024 08:00:00 354
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali, nhóm Phân tích và Nghiên c...

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 91
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 88
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 90
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button