A régebbi Apple-eszközök új biztonsági frissítést kaptak, amely számos olyan kihasználható hibát kijavít, amelyek miatt a felhasználók nyitva maradhatnak a rosszindulatú parancsok előtt.
Az Apple szerint a régebbi típusú Apple-eszközök új frissítése eltávolít néhány kódot az ASN.1 dekóderből, ami memóriasérülési problémát okozott, amelyet "rosszindulatú tanúsítvány feldolgozásával" lehetett kihasználni.
Ez azt jelenti, hogy valaki a felhasználói hitelesítő adatok készletét használhatja vagy módosíthatja, hogy a rendszert más parancsok futtatására, például rosszindulatú tartalom megnyitására vagy letöltésére kényszerítse a felhasználó tudta vagy beleegyezése nélkül.
A Webkit egyik gyengesége hasonló az ASN.1 dekóder-problémához a memória sérülésével, bár a dekóder kizsákmányolása helyett rosszindulatú webtartalom parancsokat futtathatott. Az Apple elismeri, hogy ezt a kizsákmányolást a múltban, a frissítés előtt aktívan használták.
A második Webkit-probléma is lehetővé tette a webtartalom számára, hogy parancsokat hajtsanak végre, de egy Utánhasználat nélküli sebezhetőséghez kötötték.
Az UAF a már felszabadított memória elérésének problémájával kapcsolatos, mivel az egyik folyamathoz szánt memóriamutatót/címet átviszik a másikra. Ez memóriasérüléshez és rosszindulatú parancsvégrehajtáshoz vezethet, sőt lehetővé teszi a kód távoli futtatását is.
Az iOS 12.5.4 frissítés elérhető az iPhone 5s, iPhone 6, iPhone 6 Plus, iPod Touch, iPad Mini 2, iPad Mini 3 és iPad Air készülékekhez, és kiküszöböli a memória sérüléséből és a Webkitből eredő biztonsági réseket.
Az Apple sürgeti mindazokat, akik le tudják tölteni a frissítést, hogy tegyék meg, mert ez bezár néhány jelentős nyílást – amelyek közül néhányat valószínűleg korábban kihasználtak.
