Google Project Zero araştırmacıları tarafından Safari’de 5 yıldır var olan ve saldırganlar tarafından aktif olarak kullanıldığı düşünülen yüksek riskli bir güvenlik açığı keşfedildi.
Google tarafından yayınlanan rapora göre CVE-2022-22620 (CVSS: 8.8) koduyla işaretlenen zafiyet, ilk olarak Apple tarafından 2013 yılında düzeltildi fakat 2016’nın Aralık ayında tekrardan sömürülebilir hale geldi. Saldırganlar, WebKit bileşenindeki bu hatadan yararlanarak, özel hazırlanmış bir web sitesine giren Safari tarayıcısında kod yürütebiliyor.
Araştırmacılardan Maddie Stone’a göre güvenlik açığı ilk olarak 2013 yılında bildirildiğinde düzeltilmişti fakat üç yıl sonra 2016’da yapılan kod düzenlemeleri neticesinde tekrardan ortaya çıkmıştı. Bunun ardından 2022’ye kadar 5 yıldan fazla bir süre boyunca aktif olarak varlığını sürdürmüştü.
Bu tarz olayların sadece Safari’ye özgü olmadığını belirten Stone, tekrar tekrar yama yayınlamak zorunda kalmamak için geliştiricilerin kodların güvenlik üzerindeki etkilerini anlamak için daha fazla zaman ayırmaları gerektiğini belirtiyor.
