Google Project Zero araştırmacıları tarafından Safari’de 5 yıldır var olan ve saldırganlar tarafından faal olarak kullanıldığı düşünülen yüksek riskli bir güvenlik açığı keşfedildi.
Google tarafından yayınlanan rapora nazaran CVE-2022-22620 (CVSS: 8.8) koduyla işaretlenen zafiyet, birinci olarak Apple tarafından 2013 yılında düzeltildi ama 2016’nın Aralık ayında tekrardan sömürülebilir hale geldi. Saldırganlar, WebKit bileşenindeki bu yanlıştan yararlanarak, özel hazırlanmış bir web sitesine giren Safari tarayıcısında kod yürütebiliyor.
Araştırmacılardan Maddie Stone’a nazaran güvenlik açığı birinci olarak 2013 yılında bildirildiğinde düzeltilmişti ancak üç yıl sonra 2016’da yapılan kod düzenlemeleri sonucunda tekrardan ortaya çıkmıştı. Bunun akabinde 2022’ye kadar 5 yıldan fazla bir müddet boyunca faal olarak varlığını sürdürmüştü.
Bu üslup olayların yalnızca Safari’ye mahsus olmadığını belirten Stone, tekrar tekrar yama yayınlamak zorunda kalmamak için geliştiricilerin kodların güvenlik üzerindeki tesirlerini anlamak için daha fazla vakit ayırmaları gerektiğini belirtiyor.
