Οι παλαιότερες συσκευές Apple έλαβαν μια νέα ενημέρωση ασφαλείας που διορθώνει μια σειρά από εκμεταλλεύσιμα ζητήματα που θα άφηναν τους χρήστες ανοιχτούς σε κακόβουλες εντολές.
Σύμφωνα με την Apple, μια νέα ενημέρωση για συσκευές Apple παλαιότερων μοντέλων αφαιρεί κάποιο κώδικα από τον αποκωδικοποιητή ASN.1, ο οποίος προκαλούσε πρόβλημα καταστροφής της μνήμης που θα μπορούσε να εκμεταλλευτεί "επεξεργασία ενός κακόβουλα κατασκευασμένου πιστοποιητικού".
Αυτό σημαίνει ότι κάποιος θα μπορούσε να χρησιμοποιήσει ή να αλλάξει ένα σύνολο διαπιστευτηρίων χρήστη προκειμένου να εξαπατήσει το σύστημα ώστε να εκτελέσει άλλες εντολές, όπως άνοιγμα ή λήψη κακόβουλου περιεχομένου χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.
Μία από τις αδυναμίες στο Webkit είναι παρόμοια με το πρόβλημα του αποκωδικοποιητή ASN.1 με καταστροφή της μνήμης, αν και αντί για εκμετάλλευση αποκωδικοποιητή, ήταν δυνατό για κακόβουλο περιεχόμενο Ιστού να εκτελεί εντολές. Η Apple συνεχίζει να αναγνωρίζει ότι αυτό το συγκεκριμένο exploit μπορεί να είχε χρησιμοποιηθεί ενεργά στο παρελθόν, πριν από την ενημέρωση.
Το δεύτερο ζήτημα του Webkit επέτρεψε επίσης στο περιεχόμενο ιστού να εκτελεί εντολές, αλλά ήταν συνδεδεμένο με μια ευπάθεια Χρήση-Μετά-Δωρεάν.
Το UAF σχετίζεται με το ζήτημα της πρόσβασης στη μνήμη που έχει ήδη ελευθερωθεί με τη μεταφορά ενός δείκτη/διεύθυνσης μνήμης που προορίζεται για μια διεργασία σε άλλη. Αυτό μπορεί να οδηγήσει σε καταστροφή της μνήμης και κακόβουλη εκτέλεση εντολών, ακόμη και να ενεργοποιήσει τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα.
Η ενημέρωση iOS 12.5.4 είναι διαθέσιμη για τα iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 και iPad Air και αντιμετωπίζει ευπάθειες ασφαλείας από καταστροφή μνήμης και Webkit.
Η Apple προτρέπει όσους μπορούν να κάνουν λήψη της ενημέρωσης να το κάνουν, καθώς κλείνει μερικά σημαντικά ανοίγματα - ορισμένα από τα οποία πιθανότατα έχουν χρησιμοποιηθεί στο παρελθόν.
