Les anciens appareils Apple ont reçu une nouvelle mise à jour de sécurité qui corrige un certain nombre de problèmes exploitables qui exposeraient les utilisateurs à des commandes malveillantes.
Selon Apple, une nouvelle mise à jour pour les anciens modèles d'appareils Apple supprime une partie du code du décodeur ASN.1, qui provoquait un problème de corruption de la mémoire qui pouvait être exploité en "traitant un certificat construit de manière malveillante".
Cela signifie que quelqu'un pourrait utiliser ou modifier un ensemble d'informations d'identification de l'utilisateur afin d'amener le système à exécuter d'autres commandes, comme l'ouverture ou le téléchargement de contenu malveillant à l'insu de l'utilisateur ou sans son consentement.
L'une des faiblesses de Webkit est similaire au problème de décodeur ASN.1 avec corruption de mémoire, bien qu'au lieu d'un exploit de décodeur, il était possible qu'un contenu Web malveillant exécute des commandes. Apple poursuit en reconnaissant que cet exploit particulier a peut-être été activement utilisé dans le passé, avant la mise à jour.
Le deuxième problème de Webkit permettait également au contenu Web d'exécuter des commandes, mais était lié à une vulnérabilité Use-After-Free.
UAF concerne le problème de l'accès à la mémoire qui a déjà été libérée en ayant un pointeur/adresse mémoire destiné à un processus reporté sur un autre. Cela peut entraîner une corruption de la mémoire et l'exécution de commandes malveillantes, et même permettre d'exécuter du code à distance.
La mise à jour iOS 12.5.4 est disponible pour l'iPhone 5s, l'iPhone 6, l'iPhone 6 Plus, l'iPod Touch, l'iPad Mini 2, l'iPad Mini 3 et l'iPad Air et corrige les vulnérabilités de sécurité liées à la corruption de la mémoire et à Webkit.
Apple exhorte ceux qui peuvent télécharger la mise à jour à le faire, car elle ferme quelques ouvertures importantes, dont certaines ont probablement déjà été exploitées.
