IOS 12.5.4 nodrošina drošības atjauninājumus vecākām Apple ierīcēm

Vecākas Apple ierīces ir saņēmušas jaunu drošības atjauninājumu, kas novērš vairākas ekspluatējamas problēmas, kuru dēļ lietotāji var saņemt ļaunprātīgas komandas.

Saskaņā ar Apple, jauns atjauninājums vecāka modeļa Apple ierīcēm noņem kādu kodu no ASN.1 dekodētāja, kas bija izraisot atmiņas bojājuma problēmu, ko varētu izmantot, "apstrādājot ļaunprātīgi izveidotu sertifikāts."

Tas nozīmē, ka kāds var izmantot vai mainīt lietotāja akreditācijas datu kopu, lai iemānītu sistēmu citu komandu izpilde, piemēram, ļaunprātīga satura atvēršana vai lejupielāde bez lietotāja ziņas vai piekrišanu.

Viens no Webkit trūkumiem ir līdzīgs ASN.1 dekodētāja problēmai ar atmiņas bojājumiem, lai gan dekodētāja izmantošanas vietā ļaunprātīgs tīmekļa saturs varēja palaist komandas. Apple turpina atzīt, ka šis konkrētais izmantojums, iespējams, tika aktīvi izmantots pagātnē, pirms atjaunināšanas.

Otrā Webkit problēma arī ļāva tīmekļa saturam izpildīt komandas, taču tā bija saistīta ar Use-After-Free ievainojamību.

UAF ir saistīts ar piekļuvi atmiņai, kas jau ir atbrīvota, izmantojot atmiņas rādītāju/adresi, kas paredzēta vienam procesam, pārnesot uz citu. Tas var izraisīt atmiņas bojājumus un ļaunprātīgu komandu izpildi un pat nodrošināt iespēju attālināti palaist kodu.

iOS 12.5.4 atjauninājums ir pieejams iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 un iPad Air un novērš drošības ievainojamības, ko rada atmiņas bojājumi un Webkit.

Apple mudina tos, kas var lejupielādēt atjauninājumu, to darīt, jo tas aizver dažas nozīmīgas atveres, no kurām dažas, iespējams, jau iepriekš ir izmantotas.