Los dispositivos Apple más antiguos han recibido una nueva actualización de seguridad que soluciona una serie de problemas explotables que dejarían a los usuarios expuestos a comandos maliciosos.
Según Apple, una nueva actualización para los modelos más antiguos de dispositivos Apple elimina parte del código del decodificador ASN.1, lo que provocaba un problema de corrupción de la memoria que podía aprovecharse al "procesar un certificado creado con fines malintencionados".
Esto significa que alguien podría usar o alterar un conjunto de credenciales de usuario para engañar al sistema para que ejecute otros comandos, como abrir o descargar contenido malicioso sin el conocimiento o consentimiento del usuario.
Una de las debilidades de Webkit es similar al problema del decodificador ASN.1 con la corrupción de la memoria, aunque en lugar de un exploit del decodificador, era posible que el contenido web malicioso ejecutara comandos. Apple continúa reconociendo que este exploit en particular puede haber sido utilizado activamente en el pasado, antes de la actualización.
El segundo problema de Webkit también permitía que el contenido web ejecutara comandos, pero estaba relacionado con una vulnerabilidad Use-After-Free.
UAF se relaciona con el problema de acceder a la memoria que ya ha sido liberada al tener un puntero/dirección de memoria destinado a un proceso transferido a otro. Esto puede conducir a la corrupción de la memoria y la ejecución de comandos maliciosos, e incluso habilitar la capacidad de ejecutar código de forma remota.
La actualización de iOS 12.5.4 está disponible para iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 y iPad Air y aborda las vulnerabilidades de seguridad de corrupción de memoria y Webkit.
Apple insta a aquellos que pueden descargar la actualización a que lo hagan, ya que cierra algunas aperturas importantes, algunas de las cuales probablemente hayan sido explotadas anteriormente.
