Apple Keluarkan Patch untuk Zero-Day Kritis di iPhone dan Mac
Cyberthreat.id - Apple merilis pembaruan keamanan untuk iOS, iPadOS, macOS, tvOS, dan browser web Safari untuk mengatasi kelemahan zero-day yang telah dieksploitasi secara aktif di alam liar.
Masalahnya, menurut The Hacker News, yang dilacak sebagai CVE-2024-23222, adalah bug kebingungan jenis di mesin browser WebKit yang dapat dieksploitasi oleh pelaku ancaman untuk mencapai eksekusi kode arbitrer saat memproses konten web perusak yang berbahaya.
Raksasa teknologi itu mengatakan masalahnya telah diperbaiki dengan pemeriksaan yang lebih baik.
Kerentanan kebingungan jenis, secara umum, dapat dijadikan senjata untuk melakukan akses memori di luar batas, atau menyebabkan crash dan eksekusi kode arbitrer.
Dalam sebuah peringatan singkat, Apple mengakui bahwa mereka “mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi,” namun tidak memberikan rincian spesifik lainnya tentang sifat serangan atau pelaku ancaman yang memanfaatkan kelemahan tersebut.
Pembaruan tersedia untuk perangkat dan sistem operasi berikut:
- iOS 17.3 dan iPadOS 17.3 - iPhone XS dan versi lebih baru, iPad Pro 12,9 inci generasi ke-2 dan versi lebih baru, iPad Pro 10,5 inci, iPad Pro 11 inci generasi ke-1 dan versi lebih baru, iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-6 dan versi lebih baru, dan iPad mini generasi ke-5 dan lebih baru
- iOS 16.7.5 dan iPadOS 16.7.5 - iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi pertama
- macOS Sonoma 14.3 - Mac yang menjalankan macOS Sonoma
- macOS Ventura 13.6.4 - Mac yang menjalankan macOS Ventura
- macOS Monterey 12.7.3 - Mac yang menjalankan macOS Monterey
- tvOS 17.3 - Apple TV HD dan Apple TV 4K (semua model)
- Safari 17.3 - Mac yang menjalankan macOS Monterey dan macOS Ventura
Perkembangan ini menandai kerentanan zero-day pertama yang dieksploitasi secara aktif dan ditambal oleh Apple pada tahun ini.
Tahun lalu, pembuat iPhone telah mengatasi 20 zero-day yang digunakan dalam serangan di dunia nyata.
Selain itu, Apple telah mem-backport perbaikan untuk CVE-2023-42916 dan CVE-2023-42917 – patch yang pertama kali dirilis pada Desember 2023 – ke perangkat yang lebih lama:
- iOS 15.8.1 dan iPadOS 15.8.1 - iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), dan iPod touch (generasi ke-7)
Pengungkapan ini juga menyusul laporan bahwa pihak berwenang China mengungkapkan bahwa mereka telah menggunakan kerentanan yang diketahui sebelumnya dalam fungsi AirDrop Apple untuk membantu penegak hukum mengidentifikasi pengirim konten yang tidak pantas, menggunakan teknik berdasarkan tabel pelangi.[]