苹果Safari已修复的高危漏洞被错误引入，已被在野利用超5年

最近的网络安全研究中，谷歌Project Zero发布了一份新的安全研究报告，苹果Safari浏览器中的一个已在2013年修复的安全漏洞，在2016年又被重新引入，且近年来持续地在野被积极利用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞的漏洞号为 CVE-2022-22620（CVSS 评分：8.8），其核心是 WebKit 组件中的一个内存释放后再使用的漏洞，该漏洞可被一段特制的 Web 内容进行利用，可以获得任意代码执行的攻击效果。

在2022年2月份的更新中，苹果发布的安全补丁对该漏洞进行了修复，同时也承认了该漏洞近年来已被积极利用的事实。

该漏洞早在2013年就已发现并修复，但是在三年后的大规模代码重构工作中又被有意或无意地引入到主线代码中，导致了该漏洞在2016年之后的持续5年时间内一直存在，且被积极地利用。

这样的开发事故并不只有Safari出现过，大量的软件都存在类似的问题，因此这需要在开发流程和安全开发规范上进行优化，在代码审核和发布阶段进行详细的评估和测试。

开发人员也同样有困扰，在2016年的2个月的开发周期中，就更改了135个文件、增加代码2236次、删除代码2550次，在这样大量的开发迭代任务中，想要保证之前已修复的漏洞不被错误地引入，这也是一个非常棘手的难题。