Старые устройства Apple получили новое обновление для системы безопасности, которое устраняет ряд уязвимых проблем, которые оставляли пользователей открытыми для вредоносных команд.
Согласно Apple, новое обновление для старых моделей устройств Apple удаляет некоторый код из декодера ASN.1, который вызывал проблему с повреждением памяти, которую можно было использовать для «обработки вредоносного сертификата».
Это означает, что кто-то может использовать или изменить набор учетных данных пользователя, чтобы заставить систему выполнять другие команды, такие как открытие или загрузка вредоносного контента без ведома или согласия пользователя.
Одна из слабых сторон Webkit аналогична проблеме декодера ASN.1 с повреждением памяти, хотя вместо эксплойта декодера вредоносный веб-контент мог запускать команды. Далее Apple признает, что этот конкретный эксплойт мог активно использоваться в прошлом, до обновления.
Вторая проблема Webkit также позволяла веб-содержимому выполнять команды, но была связана с уязвимостью Use-After-Free.
UAF относится к проблеме доступа к памяти, которая уже была освобождена, путем переноса указателя/адреса памяти, предназначенного для одного процесса, на другой. Это может привести к повреждению памяти и выполнению злонамеренных команд и даже сделать возможным удаленный запуск кода.
Обновление iOS 12.5.4 доступно для iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 и iPad Air и устраняет уязвимости безопасности, связанные с повреждением памяти и Webkit.
Apple призывает тех, кто может загрузить обновление, сделать это, так как оно закрывает несколько существенных пробелов, некоторые из которых, вероятно, уже использовались ранее.
