Oudere Apple-apparaten hebben een nieuwe beveiligingsupdate ontvangen die een aantal misbruikbare problemen oplost die gebruikers bloot zouden stellen aan kwaadaardige opdrachten.
Volgens Apple verwijdert een nieuwe update voor oudere Apple-apparaten wat code uit de ASN.1-decoder, die een probleem met geheugenbeschadiging veroorzaakte dat misbruikt kon worden door "een kwaadwillig vervaardigd certificaat te verwerken".
Dit betekent dat iemand een set gebruikersreferenties kan gebruiken of wijzigen om het systeem te misleiden om andere opdrachten uit te voeren, zoals het openen of downloaden van schadelijke inhoud zonder medeweten of toestemming van de gebruiker.
Een van de zwakke punten in Webkit is vergelijkbaar met het ASN.1-decoderprobleem met geheugencorruptie, hoewel het in plaats van een decoder-exploit mogelijk was dat kwaadwillende webinhoud opdrachten uitvoerde. Apple erkent verder dat deze specifieke exploit in het verleden mogelijk actief is gebruikt, vóór de update.
Het tweede probleem met de Webkit stond ook toe dat webinhoud opdrachten kon uitvoeren, maar was gekoppeld aan een Use-After-Free-kwetsbaarheid.
UAF heeft betrekking op de kwestie van toegang tot geheugen dat al is vrijgemaakt door een geheugenaanwijzer/-adres voor het ene proces over te dragen naar een ander. Dit kan leiden tot geheugenbeschadiging en het uitvoeren van kwaadaardige opdrachten, en zelfs de mogelijkheid om op afstand code uit te voeren.
De iOS 12.5.4-update is beschikbaar voor de iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 en iPad Air en lost beveiligingsproblemen op door geheugenbeschadiging en Webkit.
Apple dringt er bij degenen die de update kunnen downloaden op aan dit te doen, aangezien het een paar belangrijke openingen sluit, waarvan sommige waarschijnlijk eerder zijn uitgebuit.
