В Safari снова исправляют уязвимость девятилетней давности

Неуловимую уязвимость уже устраняли в 2013 году.

В коде браузера Safari снова обнаружена уязвимость, которая была исправлена еще в 2019 году. По данным отчета Google Project Zero, проблема оценивается в 8,8 баллов по шкале CVSS. Речь идет о баге use-after-free в компоненте WebKit браузера Apple Safari для устройств  iOS, iPadOS и macOS. Уточняется, что использовать данную уязвимость возможно для создания произвольного кода.

Впервые уязвимость обнаружили в 2013 году и благополучно исправили. Однако в 2016 при выпуске обновления она снова попала в код. С тех пор баг оставался незамеченным. Обновления против него выпустили в феврале текущего года. Как уточнили в компании Apple, хакеры могли уже активно эксплуатировать данную уязвимость.  Причем неизвестно, как давно они обнаружили и воспользовались ею.

Участница команды Google Project Zero Мэдди Стоун назвала такие баги «зомби-уязвимостями». Она отметила, что злоумышленникам нет необходимости тратить ресурсы на поиск новых уязвимостей. Они могут подобным образом использовать баги, которые были обнаружены и не полностью устранены ранее.