I dispositivi Apple meno recenti hanno ricevuto un nuovo aggiornamento di sicurezza che risolve una serie di problemi sfruttabili che lascerebbero gli utenti aperti a comandi dannosi.
Secondo Apple, un nuovo aggiornamento per i dispositivi Apple di modelli precedenti rimuove del codice dal decoder ASN.1, che causava un problema di danneggiamento della memoria che poteva essere sfruttato "elaborando un certificato dannoso".
Ciò significa che qualcuno potrebbe utilizzare o alterare un insieme di credenziali utente per indurre il sistema a eseguire altri comandi, come aprire o scaricare contenuti dannosi senza che l'utente ne sia a conoscenza o senza il consenso.
Uno dei punti deboli di Webkit è simile al problema del decoder ASN.1 con il danneggiamento della memoria, sebbene invece di un exploit del decoder, fosse possibile che contenuto Web dannoso eseguisse comandi. Apple continua riconoscendo che questo particolare exploit potrebbe essere stato utilizzato attivamente in passato, prima dell'aggiornamento.
Il secondo problema di Webkit consentiva anche al contenuto Web di eseguire comandi, ma era legato a una vulnerabilità Use-After-Free.
UAF si riferisce al problema dell'accesso alla memoria che è già stata liberata avendo un puntatore/indirizzo di memoria destinato a un processo trasferito a un altro. Ciò può causare il danneggiamento della memoria e l'esecuzione di comandi dannosi e persino consentire la possibilità di eseguire codice in remoto.
L'aggiornamento iOS 12.5.4 è disponibile per iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 e iPad Air e risolve le vulnerabilità di sicurezza dovute al danneggiamento della memoria e al Webkit.
Apple esorta coloro che possono scaricare l'aggiornamento a farlo, poiché chiude alcune aperture significative, alcune delle quali probabilmente sono state sfruttate in precedenza.