Dispozitivele Apple mai vechi au primit o nouă actualizare de securitate care remediază o serie de probleme exploatabile care ar lăsa utilizatorii deschiși la comenzi rău intenționate.
Conform Apple, o nouă actualizare pentru modelele mai vechi de dispozitive Apple elimină un anumit cod din decodorul ASN.1, ceea ce provoca o problemă de corupție a memoriei care putea fi exploatată prin „procesarea unui certificat creat cu răutate”.
Aceasta înseamnă că cineva ar putea folosi sau modifica un set de acreditări de utilizator pentru a păcăli sistemul să execute alte comenzi, cum ar fi deschiderea sau descărcarea de conținut rău intenționat fără știrea sau consimțământul utilizatorului.
Una dintre punctele slabe ale Webkit este similară cu problema decodorului ASN.1 cu corupția memoriei, deși în loc de o exploatare a decodorului, era posibil ca conținutul web rău intenționat să ruleze comenzi. Apple continuă să recunoască faptul că acest exploit anume ar fi putut fi folosit în mod activ în trecut, înainte de actualizare.
Cea de-a doua problemă Webkit a permis, de asemenea, conținutului web să execute comenzi, dar a fost legată de o vulnerabilitate Use-After-Free.
UAF se referă la problema accesării memoriei care a fost deja eliberată prin faptul că are un pointer/adresă de memorie destinat unui proces transferat la altul. Acest lucru poate duce la coruperea memoriei și la executarea de comenzi rău intenționate și chiar la activarea capacității de a rula cod de la distanță.
Actualizarea iOS 12.5.4 este disponibilă pentru iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 și iPad Air și abordează vulnerabilitățile de securitate cauzate de corupția memoriei și Webkit.
Apple îi îndeamnă pe cei care pot descărca actualizarea să facă acest lucru, deoarece închide câteva deschideri semnificative, dintre care unele probabil au fost exploatate anterior.
