Starsze urządzenia Apple otrzymały nową aktualizację zabezpieczeń, która naprawia szereg możliwych do wykorzystania problemów, które narażałyby użytkowników na złośliwe polecenia.
Według firmy Apple, nowa aktualizacja dla starszych modeli urządzeń Apple usuwa część kodu z dekodera ASN.1, który powodował problem z uszkodzeniem pamięci, który można wykorzystać poprzez „przetwarzanie złośliwie spreparowanego certyfikatu”.
Oznacza to, że ktoś może użyć lub zmienić zestaw danych uwierzytelniających użytkownika, aby nakłonić system do uruchamiania innych poleceń, takich jak otwieranie lub pobieranie złośliwej zawartości bez wiedzy i zgody użytkownika.
Jedna ze słabości Webkit jest podobna do problemu z dekoderem ASN.1 z uszkodzeniem pamięci, chociaż zamiast luki w dekoderze złośliwa zawartość internetowa mogła uruchamiać polecenia. Apple przyznaje, że ten konkretny exploit mógł być aktywnie wykorzystywany w przeszłości, przed aktualizacją.
Drugi problem z Webkit również pozwalał treściom internetowym na wykonywanie poleceń, ale był powiązany z luką Use-After-Free.
UAF odnosi się do problemu dostępu do pamięci, która została już zwolniona przez posiadanie wskaźnika/adresu pamięci przeznaczonego dla jednego procesu przeniesionego do innego. Może to prowadzić do uszkodzenia pamięci i wykonania złośliwych poleceń, a nawet umożliwić zdalne uruchamianie kodu.
Aktualizacja iOS 12.5.4 jest dostępna dla iPhone'a 5s, iPhone'a 6, iPhone'a 6 Plus, iPoda Touch, iPada Mini 2, iPada Mini 3 i iPada Air i usuwa luki w zabezpieczeniach związane z uszkodzeniem pamięci i Webkit.
Apple zachęca tych, którzy mogą pobrać aktualizację, aby to zrobili, ponieważ zamyka ona kilka znaczących otworów - niektóre z nich prawdopodobnie zostały wcześniej wykorzystane.
