Starší zařízení Apple obdržela novou aktualizaci zabezpečení, která opravuje řadu zneužitelných problémů, kvůli nimž by uživatelé byli vystaveni škodlivým příkazům.
Podle společnosti Apple odstraňuje nová aktualizace pro starší modely zařízení Apple část kódu z dekodéru ASN.1, což způsobovalo problém s poškozením paměti, který by mohl být zneužit „zpracováním škodlivého certifikátu“.
To znamená, že někdo by mohl použít nebo změnit sadu uživatelských přihlašovacích údajů, aby přiměl systém ke spuštění dalších příkazů, jako je otevření nebo stažení škodlivého obsahu bez vědomí nebo souhlasu uživatele.
Jedna ze slabin Webkitu je podobná problému s dekodérem ASN.1 s poškozením paměti, ačkoli namísto zneužití dekodéru bylo možné, aby škodlivý webový obsah spouštěl příkazy. Apple dále uznává, že tento konkrétní exploit mohl být aktivně používán v minulosti, před aktualizací.
Druhé vydání Webkitu také umožňovalo webovému obsahu spouštět příkazy, ale bylo spojeno s chybou zabezpečení Use-After-Free.
UAF se týká problému přístupu k paměti, která již byla uvolněna tím, že se ukazatel/adresa paměti určená pro jeden proces přenesla na jiný. To může vést k poškození paměti a provádění škodlivých příkazů a dokonce umožnit vzdáleně spouštět kód.
Aktualizace iOS 12.5.4 je k dispozici pro iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 a iPad Air a řeší chyby zabezpečení způsobené poškozením paměti a Webkit.
Apple vyzývá ty, kteří si mohou aktualizaci stáhnout, aby tak učinili, protože zavírá několik významných otevření – z nichž některé byly pravděpodobně dříve zneužity.
