Apple heeft een update voor iOS 12 voor oudere iPads en iPhones uitgebracht die twee ernstige kwetsbaarheden verhelpt die in de praktijk werden uitgebuit. De zerodays zaten in Webkit en maakten remote code executions mogelijk bij het bezoeken van websites.
De bugfixes zitten in iOS 12.5.4, dat beschikbaar is voor oude Apple-apparaten die het huidige iOS 14 niet meer kunnen draaien. Dat zijn de iPhone 5s, iPhone 6 en 6Plus, de tablets iPad Air en iPad mini 2 en 3, en de iPod Touch 6 Gen. De update verhelpt drie kwetsbaarheden. CVE-2021-30737 kan een memory corruption doen in de ASN.1-decoder, maar dat lek werd niet actief uitgebuit.
Twee andere lekken werden wel actief misbruikt, zegt Apple. CVE-2021-30761 en CVE-2021-30762 zijn beide kwetsbaarheden in WebKit, de browserengine voor Safari. Details over de lekken zijn niet bekend, maar de kwetsbaarheden maakten het mogelijk respectievelijk een memory corruption of een use-after-free te triggeren. Daarvoor hoefde de gebruiker alleen maar een bepaalde website te bezoeken.
Apple schrijft zoals altijd niets over hoe de lekken uitgebuit werden. Het is dus niet duidelijk door wie dat gebeurde en op welke schaal, maar duidelijk is wel dat de slachtoffers oude toestellen hadden. Het is opmerkelijk maar niet uniek dat Apple oudere besturingssystemen nog updates geeft. Vorige maand kwam ook al iOS 12.5.3 uit voor oudere toestellen. Daarin werden ook drie kwetsbaarheden in WebKit misbruikt, die ook op moderne iPhones gebruikt konden worden en ook actief werden uitgebuit.