Eldre Apple-enheter har mottatt en ny sikkerhetsoppdatering som fikser en rekke utnyttbare problemer som vil gjøre brukere åpne for ondsinnede kommandoer.
I følge Apple fjerner en ny oppdatering for eldre Apple-modeller noe kode fra ASN.1-dekoderen, som forårsaket et minnekorrupsjonsproblem som kunne utnyttes ved å "behandle et skadelig sertifikat."
Dette betyr at noen kan bruke eller endre et sett med brukerlegitimasjon for å lure systemet til å kjøre andre kommandoer, som å åpne eller laste ned skadelig innhold uten brukerens viten eller samtykke.
En av svakhetene i Webkit ligner på ASN.1-dekoderproblemet med minnekorrupsjon, men i stedet for en dekoderutnyttelse var det mulig for ondsinnet nettinnhold å kjøre kommandoer. Apple fortsetter med å erkjenne at denne spesielle utnyttelsen kan ha blitt brukt aktivt tidligere, før oppdateringen.
Det andre Webkit-problemet tillot også nettinnhold å utføre kommandoer, men var knyttet til en Use-After-Free-sårbarhet.
UAF gjelder spørsmålet om tilgang til minne som allerede er frigjort ved å ha en minnepeker/adresse beregnet på en prosess overført til en annen. Dette kan føre til minnekorrupsjon og ondsinnet kommandokjøring, og til og med muliggjøre muligheten til å eksternt kjøre kode.
iOS 12.5.4-oppdateringen er tilgjengelig for iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 og iPad Air og adresserer sikkerhetssårbarheter fra minnekorrupsjon og Webkit.
Apple oppfordrer de som kan laste ned oppdateringen til å gjøre det, siden den lukker noen få betydelige åpninger - noen av dem har sannsynligvis blitt utnyttet tidligere.
