IOS 12.5.4 porta gli aggiornamenti di sicurezza ai vecchi dispositivi Apple

I dispositivi Apple meno recenti hanno ricevuto un nuovo aggiornamento di sicurezza che risolve una serie di problemi sfruttabili che lascerebbero gli utenti aperti a comandi dannosi.

Secondo Apple, un nuovo aggiornamento per i dispositivi Apple modello precedente rimuove parte del codice dal decoder ASN.1, che era causando un problema di corruzione della memoria che potrebbe essere sfruttato "elaborando un dannoso craft certificato."

Ciò significa che qualcuno potrebbe utilizzare o alterare una serie di credenziali utente per ingannare il sistema in eseguire altri comandi, come aprire o scaricare contenuti dannosi all'insaputa dell'utente o consenso.

Uno dei punti deboli di Webkit è simile al problema del decoder ASN.1 con il danneggiamento della memoria, sebbene invece di un exploit del decoder, fosse possibile che contenuti Web dannosi eseguissero comandi. Apple prosegue riconoscendo che questo particolare exploit potrebbe essere stato utilizzato attivamente in passato, prima dell'aggiornamento.

Anche il secondo problema di Webkit consentiva ai contenuti Web di eseguire comandi, ma era legato a una vulnerabilità Use-After-Free.

UAF riguarda il problema dell'accesso alla memoria che è già stata liberata avendo un puntatore/indirizzo di memoria destinato a un processo trasferito a un altro. Ciò può causare il danneggiamento della memoria e l'esecuzione di comandi dannosi e persino consentire la possibilità di eseguire codice in remoto.

L'aggiornamento iOS 12.5.4 è disponibile per iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 e iPad Air e risolve le vulnerabilità della sicurezza dovute al danneggiamento della memoria e Webkit.

Apple esorta coloro che possono scaricare l'aggiornamento a farlo, poiché chiude alcune aperture significative, alcune delle quali probabilmente sono state precedentemente sfruttate.