Os dispositivos Apple mais antigos receberam uma nova atualização de segurança que corrige vários problemas exploráveis que deixariam os usuários abertos a comandos maliciosos.
De acordo com a Apple, uma nova atualização para modelos mais antigos de dispositivos Apple remove alguns códigos do decodificador ASN.1, que estava causando um problema de corrupção de memória que poderia ser explorado pelo "processamento de um certificado criado com códigos maliciosos".
Isso significa que alguém pode usar ou alterar um conjunto de credenciais de usuário para induzir o sistema a executar outros comandos, como abrir ou baixar conteúdo malicioso sem o conhecimento ou consentimento do usuário.
Um dos pontos fracos do Webkit é semelhante ao problema do decodificador ASN.1 com corrupção de memória, embora em vez de uma exploração do decodificador, era possível que conteúdo malicioso da Web executasse comandos. A Apple continua reconhecendo que esse exploit específico pode ter sido usado ativamente no passado, antes da atualização.
O segundo problema do Webkit também permitia que o conteúdo da web executasse comandos, mas estava vinculado a uma vulnerabilidade Use-After-Free.
UAF refere-se à questão de acessar a memória que já foi liberada por ter um ponteiro/endereço de memória destinado a um processo transferido para outro. Isso pode levar à corrupção de memória e execução de comandos mal-intencionados, e até mesmo habilitar a capacidade de executar código remotamente.
A atualização do iOS 12.5.4 está disponível para iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 e iPad Air e aborda vulnerabilidades de segurança de corrupção de memória e Webkit.
A Apple insta aqueles que podem baixar a atualização a fazê-lo, pois ela fecha algumas aberturas significativas, algumas das quais provavelmente já foram exploradas anteriormente.
