IOS 12.5.4 bringer sikkerhetsoppdateringer til eldre Apple-enheter

Eldre Apple-enheter har mottatt en ny sikkerhetsoppdatering som fikser en rekke utnyttbare problemer som vil gjøre brukere åpne for ondsinnede kommandoer.

Ifølge Apple, fjerner en ny oppdatering for eldre Apple-modeller noe kode fra ASN.1-dekoderen, som ble forårsaker et minnekorrupsjonsproblem som kan utnyttes ved å "behandle en skadelig utformet sertifikat."

Dette betyr at noen kan bruke eller endre et sett med brukerlegitimasjon for å lure systemet inn kjøre andre kommandoer, som å åpne eller laste ned skadelig innhold uten brukerens viten eller samtykke.

En av svakhetene i Webkit ligner på ASN.1-dekoderproblemet med minnekorrupsjon, men i stedet for en dekoderutnyttelse var det mulig for ondsinnet nettinnhold å kjøre kommandoer. Apple fortsetter med å erkjenne at denne spesielle utnyttelsen kan ha blitt brukt aktivt tidligere, før oppdateringen.

Det andre Webkit-problemet tillot også nettinnhold å utføre kommandoer, men var knyttet til en Use-After-Free-sårbarhet.

UAF forholder seg til spørsmålet om tilgang til minne som allerede er frigjort ved å ha en minnepeker/adresse beregnet på en prosess overført til en annen. Dette kan føre til minnekorrupsjon og ondsinnet kommandoutførelse, og til og med muliggjøre muligheten til å eksternt kjøre kode.

iOS 12.5.4-oppdateringen er tilgjengelig for iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 og iPad Air og adresserer sikkerhetssårbarheter fra minnekorrupsjon og Webkit.

Apple oppfordrer de som kan laste ned oppdateringen til å gjøre det, siden den lukker noen få betydelige åpninger – noen av dem har sannsynligvis blitt utnyttet tidligere.