The Hacker News cho biết, lỗ hổng bảo mật trong trình duyệt Safari đã được hãng vá vào đầu năm. Lỗi được phát hiện lần đầu và khắc phục từ năm 2013, nhưng nhóm Project Zero cho biết lỗi này bị phát hiện lại từ tháng 12/2016.
Được gắn tên CVE-2022-22620 với điểm CVSS lên tới 8,8, lỗ hổng liên quan đến một thành phần WebKit có thể bị khai thác bởi một nội dung web đặc biệt giúp hacker có thể thực thi mã.
Đầu tháng 2/2022, Apple đã tung bản vá lỗi trên các hệ điều hành iOS, iPadOS và macOS, thừa nhận lỗi có thể đã bị khai thác.
Theo nhóm Project Zero, lỗi này được phát hiện lần đầu vào năm 2013 và đã được vá hoàn toàn. Nhưng sau đó 3 năm trong quá trình tái cấu trúc, Apple đã để lỗ hổng quay trở lại và tồn tại trong 5 năm.
Viết trên blog, nhóm Project Zero nhận định hacker hiện nay không cần dò tìm các lỗi 0-days mới để khai thác. Thay vào đó có thể sử dụng các lỗ hổng có liên quan chặt chẽ đến các lỗ hổng đã được tiết lộ trước đó.
Trong năm 2022, nhóm Project Zero cũng đã phát hiện nhiều biến thể của lỗi 0-days trên các hệ điều hành và trình duyệt phổ biến, từ Chromium, Windows, Pixels và iOS.