Eski Apple Cihazları, kullanıcıları kötü amaçlı komutlara açık bırakacak bir dizi kötüye kullanılabilir sorunu gideren yeni bir güvenlik güncellemesi aldı.
Apple'a göre, eski model Apple cihazları için yeni bir güncelleme, ASN.1 kod çözücüsünden bazı kodları kaldırıyor ve bu da "kötü amaçlarla oluşturulmuş bir sertifikanın işlenmesi" yoluyla yararlanılabilecek bir bellek bozulması sorununa neden oluyordu.
Bu, birinin, kullanıcının bilgisi veya onayı olmadan kötü amaçlı içeriği açma veya indirme gibi başka komutları çalıştırması için sistemi kandırmak için bir dizi kullanıcı kimlik bilgilerini kullanabileceği veya değiştirebileceği anlamına gelir.
Webkit'teki zayıflıklardan biri, bellek bozulmasıyla ilgili ASN.1 kod çözücü sorununa benzer, ancak kod çözücü kullanımı yerine kötü amaçlı web içeriğinin komutları çalıştırması mümkündü. Apple, bu özel istismarın geçmişte, güncellemeden önce aktif olarak kullanılmış olabileceğini kabul etmeye devam ediyor.
İkinci Webkit sorunu, web içeriğinin komutları yürütmesine de izin verdi, ancak bir Ücretsiz Kullanım Sonrası güvenlik açığına bağlıydı.
UAF, bir işlem için diğerine taşınan bir bellek işaretçisi/adresine sahip olarak zaten serbest bırakılmış belleğe erişim sorunuyla ilgilidir. Bu, bellek bozulmasına ve kötü amaçlı komut yürütülmesine yol açabilir ve hatta uzaktan kod çalıştırma özelliğini etkinleştirebilir.
iOS 12.5.4 güncellemesi iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 ve iPad Air için mevcuttur ve bellek bozulması ve Webkit'ten kaynaklanan güvenlik açıklarını giderir.
Apple, bazıları daha önce istismar edilmiş olan birkaç önemli açıklığı kapattığı için güncellemeyi indirebilenleri bunu yapmaya teşvik ediyor.
