Apple Rilis Perbaikan Tiga Exploitasi Bug zero-day iOS 14.4, iCloud Windows dan Xcode 12.4

Photo: Apple iPhone (AppleInsider)

Local-Hunter.com - Apple terus memperbaiki celah keamanan dengan menambal bug zero-day, merilis pembaruan darurat minggu ini untuk menambal tiga lagi yang baru-baru ini ditemukan di iOS setelah pembaruan perangkat lunak utama pada November telah memperbaiki tiga yang sedang dieksploitasi secara aktif.

Bug yang baru ditambal adalah bagian dari pembaruan keamanan yang dirilis Selasa untuk iOS 14.4 dan iPadOS 14.4. Satu bug, dilacak sebagai CVE-2021-1782, ditemukan di kernel OS, sedangkan dua lainnya – CVE-2021-1870 dan CVE-2021-1871– ditemukan di mesin browser WebKit.

Kerentanan terbaru tampaknya tidak diketahui saat Apple merilis iOS 14.2 dan iPadOS 14.2, pembaruan komprehensif yang menambal total 24 kerentanan pada bulan November. Pembaruan itu termasuk perbaikan untuk tiga kekurangan zero-day yang ditemukan oleh tim Google Project Zero yang secara aktif dieksploitasi di alam liar.

Penyerang juga mungkin secara aktif memanfaatkan bug terbaru, menurut Apple. Perusahaan mendeskripsikan cacat kernel sebagai "kondisi perlombaan" yang dialamatkan oleh pembaruan "dengan penguncian yang ditingkatkan". Jika dieksploitasi, kerentanan dapat memungkinkan aplikasi berbahaya meningkatkan hak istimewa.

Kerentanan WebKit adalah masalah logika yang dialamatkan oleh pembaruan dengan pembatasan yang ditingkatkan, menurut Apple. Memanfaatkan kelemahan ini akan memungkinkan penyerang jarak jauh "menyebabkan eksekusi kode arbitrer," kata perusahaan itu.

Semua bug zero-day diperbaiki karena memengaruhi iPhone 6s dan yang lebih baru, iPad Air 2 dan lebih baru, iPad mini 4 dan lebih baru, dan iPod touch (generasi ke-7), menurut Apple. Pakar keamanan percaya ketiganya adalah bagian dari rantai eksploitasi yang dapat digunakan penyerang untuk meningkatkan hak istimewa dan membahayakan perangkat setelah pengguna yang tidak curiga menjadi korban situs web jahat yang memanfaatkan kekurangan WebKit.

Seperti kebiasaan, bagaimanapun, Apple tidak menjelaskan secara rinci tentang bagaimana bug digunakan dalam serangan, karena biasanya tidak mengungkapkan jenis info ini sampai sebagian besar perangkat yang terpengaruh ditambal.

Perkembangan iPhone di seluruh dunia menjadikan berita tentang zero-day Apple iOS sebagai ancaman keamanan bagi ratusan juta penggunanya, dan karenanya menjadi masalah yang sangat besar. Faktanya, empat ancaman persisten maju (APT) yang didukung negara-negara menggunakan eksploitasi iPhone zero-day dalam peretasan spionase yang dipublikasikan besar-besaran terhadap jurnalis, produser, pembawa acara, dan eksekutif Al Jazeera akhir tahun lalu.

Diperkirakan, banyak pengguna iPhone, profesional teknologi, dan pakar keamanan turun ke Twitter ketika berita tentang serentetan zero-days iOS terbaru untuk memperingatkan pengguna iPhone untuk segera memperbarui perangkat mereka.

Apple juga telah merilis pembaruan keamanan untuk iCloud Windows yang memperbaiki empat kerentanan yang dapat menyebabkan eksekusi kode arbitrer atau kerusakan tumpukan, dan Xcode, lingkungan pengembangan terintegrasi untuk macOS, yang memperbaiki masalah penanganan jalur yang dapat memungkinkan aplikasi berbahaya mengakses file arbitrer di perangkat host saat menjalankan aplikasi yang menggunakan sumber daya sesuai permintaan dengan Xcode.

Posting Komentar

0 Komentar