Una falla presente sul browser Safari già da diverso tempo sarebbe ancora sfruttata attivamente dagli hacker per l'esecuzione di codice arbitrario. La vulnerabilità in questione è stata archiviata come CVE-2922-22620 e ha una storia alquanto curiosa. Infatti, Apple aveva corretto la falla già nel 2013, ma tre anni dopo è stato scoperto un modo per aggirare il fix.
Tramite un post ufficiale, il team di Google Project Zero, composto da esperti di sicurezza informatica impegnato nella ricerca di vulnerabilità 0-day, nella persona di Maddie Stone, ha descritto nel dettaglio questa vulnerabilità, definendola una 0-day "zombie", dal momento che, proprio come i non morti, è tornata dall'oltretomba e risultava ancora utilizzata a inizio 2022, cinque anni dopo l'intervento correttivo di Apple (da dicembre 2016 a gennaio 2022).
La vulnerabilità, definita dai ricercatori come browser-in-the-wild, consiste in un problema use-after-free che può essere sfruttato per l'elaborazione di contenuti web sviluppati appositamente per far danno, allo scopo, come dicevamo prima, di eseguire codice di natura arbitraria.
È stata analizzata la cronologia dei commit e dei bug tracker per cercare di capire in che modo questa 0-day, apparentemente risolta, fosse tornata in vita, ma la vulnerabilità risultava effettivamente corretta nel 2013. A quanto pare, il fix ha subito un ridimensionamento nel 2016 durante delle operazioni di refactoring, tanto rendere nuovamente sfruttabile la falla fino all'inizio del 2022, sebbene non sia chiaro per quanto tempo sia stata sfruttata in modo pratico in situazioni reali. Da quanto analizzato dai ricercatori, però, gli sviluppatori che hanno corretto i bug nel 2013 hanno seguito diverse best practice di settore, dunque risulta difficile individuare la causa esatta che ha portato alla regressione del fix nel 2016.