Els dispositius Apple més antics han rebut una nova actualització de seguretat que soluciona una sèrie de problemes explotables que deixarien els usuaris oberts a ordres malicioses.
Segons Apple, una nova actualització per als dispositius Apple de models més antics elimina part del codi del descodificador ASN.1, cosa que provocava un problema de corrupció de memòria que es podia aprofitar "processant un certificat elaborat de manera maliciosa".
Això vol dir que algú podria utilitzar o modificar un conjunt de credencials d'usuari per tal d'enganyar el sistema perquè executi altres ordres, com ara obrir o baixar contingut maliciós sense el coneixement o el consentiment de l'usuari.
Una de les debilitats del Webkit és similar al problema del descodificador ASN.1 amb la corrupció de la memòria, tot i que en lloc d'un exploit del descodificador, era possible que el contingut web maliciós executés ordres. Apple reconeix que aquest exploit en particular podria haver estat utilitzat activament en el passat, abans de l'actualització.
El segon problema del Webkit també va permetre que el contingut web executés ordres, però estava lligat a una vulnerabilitat Use-After-Free.
UAF es relaciona amb el problema d'accedir a la memòria que ja s'ha alliberat tenint un punter/adreça de memòria destinat a un procés transferit a un altre. Això pot provocar la corrupció de la memòria i l'execució d'ordres malicioses, i fins i tot habilitar la possibilitat d'executar codi de manera remota.
L'actualització d'iOS 12.5.4 està disponible per a l'iPhone 5s, l'iPhone 6, l'iPhone 6 Plus, l'iPod Touch, l'iPad Mini 2, l'iPad Mini 3 i l'iPad Air i soluciona les vulnerabilitats de seguretat derivades de la corrupció de la memòria i del Webkit.
Apple insta a aquells que poden descarregar l'actualització que ho facin, ja que tanca algunes obertures importants, algunes de les quals probablement s'han explotat anteriorment.
