Appleは2022年2月初旬にSafari、iOS、iPadOS、およびmacOSにおけるゼロデイ脆弱性CVE-2022-22620の情報を公開し、修正パッチをリリースした。Googleが運営しているProject Zeroの調査によると、この脆弱性は2013年に一度修正されたものの、2016年に該当箇所のリファクタリングを実施した際に再度導入され、その後5年間にわたって存在していたことがわかったという。2022年に修正パッチをリリースした際、Appleはこの脆弱性が悪用された可能性があると述べていた。

CVE-2022-22620は、Safariなどに搭載されているWebレンダリングエンジンのWebKitに発見された脆弱性である。影響を受けるバージョンのWebKitには解放後メモリ利用(Use After Free)に関する問題が含まれており、悪意を持って作成されたWebコンテンツを処理すると、任意のコードを実行される危険性がある。CVE-2022-22620のCVSS v3のベーススコアは8.8で、深刻度「高」に分類されている。

Project Zeroでは、報告された既知の脆弱性について、その根本的な原因の調査を実施している。その活動の一環としてCVE-2022-22620について調べたところ、次のようなタイムラインで、一度修正された後で復活したことが判明したという。

  • 2009年12月: 該当するAPIの追加(脆弱性の最初の混入)
  • 2013年1月: 脆弱性の修正パッチを適用
  • 2016年10月および12月: 該当機能の実装のリファクタリングを実施し、その際に脆弱性が再度混入
  • 2022年2月: 脆弱性に修正パッチを再適用
  • 該当する機能の修正履歴(引用: Google Project Zero)

    該当する機能の修正履歴引用: Google Project Zero

CVE-2022-22620が実際にどれくらいの期間悪用されていたのかは不明だが、少なくとも2016年12月から2022年1月までの5年間にわたってこの脆弱性が再びWebKitの中に紛れ込んでいたことは確かだとProject Zeroでは指摘している。