Apple telah merilis sejumlah pembaruan keamanan darurat untuk memperbaiki tiga celah keamanan nol hari yang sedang dieksploitasi secara aktif yang memengaruhi iOS, iPadOS, macOS, watchOS, dan Safari, sehingga jumlah celah keamanan nol hari yang ditemukan di perangkat lunaknya tahun ini menjadi 16. Daftar kerentanan keamanan tersebut adalah sebagai berikut:
- CVE-2023-41991 - Masalah validasi sertifikat di kerangka kerja Security yang dapat memungkinkan aplikasi jahat untuk mengabaikan validasi tanda tangan.
- CVE-2023-41992 - Masalah keamanan di Kernel yang dapat memungkinkan penyerang lokal untuk meningkatkan hak istimewa mereka.
- CVE-2023-41993 - Kesalahan WebKit yang dapat mengakibatkan eksekusi kode sembarang saat memproses konten web yang dibuat khusus.
.
Apple tidak memberikan rincian tambahan selain pengakuan bahwa “masalah ini mungkin telah dieksploitasi secara aktif terhadap versi iOS sebelum iOS 16.7.” Pembaruan tersedia untuk perangkat dan sistem operasi berikut:
Apple tidak memberikan rincian tambahan selain pengakuan bahwa “masalah ini mungkin telah dieksploitasi secara aktif terhadap versi iOS sebelum iOS 16.7.” Pembaruan tersedia untuk perangkat dan sistem operasi berikut:
- iOS 16.7 dan iPadOS 16.7 - iPhone 8 dan versi selanjutnya, iPad Pro (semua model), iPad Air generasi ke-3 dan versi selanjutnya, iPad generasi ke-5 dan versi selanjutnya, dan iPad mini generasi ke-5 dan versi selanjutnya
- iOS 17.0.1 dan iPadOS 17.0.1 - iPhone XS dan versi selanjutnya, iPad Pro 12,9 inci generasi ke-2 dan versi selanjutnya, iPad Pro 10,5 inci, iPad Pro 11 inci generasi ke-1 dan versi selanjutnya, iPad Air generasi ke-3 dan versi selanjutnya, iPad generasi ke-6 dan versi selanjutnya, iPad mini generasi ke-5 dan versi selanjutnya
- macOS Monterey 12.7 dan macOS Ventura 13.6
- watchOS 9.6.3 dan watchOS 10.0.1 - Apple Watch Series 4 dan versi selanjutnya
- Safari 16.6.1
.
Penemuan dan pelaporan celah-celah tersebut dikreditkan kepada Bill Marczak dari Citizen Lab di Munk School Universitas Toronto dan Maddie Stone dari Google’s Threat Analysis Group (TAG), menunjukkan bahwa mungkin kerentanan tersebut telah disalahgunakan sebagai bagian dari serangan mata-mata yang sangat ditargetkan terhadap masyarakat sipil yang berisiko tinggi terhadap ancaman siber.
Penemuan dan pelaporan celah-celah tersebut dikreditkan kepada Bill Marczak dari Citizen Lab di Munk School Universitas Toronto dan Maddie Stone dari Google’s Threat Analysis Group (TAG), menunjukkan bahwa mungkin kerentanan tersebut telah disalahgunakan sebagai bagian dari serangan mata-mata yang sangat ditargetkan terhadap masyarakat sipil yang berisiko tinggi terhadap ancaman siber.
.
Pengungkapan ini datang dua minggu setelah Apple menyelesaikan dua celah zero-day lainnya yang dieksploitasi secara aktif, yaitu CVE-2023-41061 dan CVE-2023-41064 yang telah digabungkan sebagai rantai eksploitasi iMessage tanpa klik bernama BLASTPASS untuk menyebarkan spyware bayaran bernama Pegasus. Ini diikuti oleh Google dan Mozilla yang mengirimkan perbaikan untuk mengatasi masalah keamanan (CVE-2023-4863) yang dapat mengakibatkan eksekusi kode sembarang saat memproses gambar khusus.
Pengungkapan ini datang dua minggu setelah Apple menyelesaikan dua celah zero-day lainnya yang dieksploitasi secara aktif, yaitu CVE-2023-41061 dan CVE-2023-41064 yang telah digabungkan sebagai rantai eksploitasi iMessage tanpa klik bernama BLASTPASS untuk menyebarkan spyware bayaran bernama Pegasus. Ini diikuti oleh Google dan Mozilla yang mengirimkan perbaikan untuk mengatasi masalah keamanan (CVE-2023-4863) yang dapat mengakibatkan eksekusi kode sembarang saat memproses gambar khusus.
.
Ada bukti yang menunjukkan bahwa baik CVE-2023-41064, kerentanan buffer overflow di kerangka kerja pemrosesan gambar Image I/O milik Apple, maupun CVE-2023-4863, kerentanan heap buffer overflow di pustaka gambar WebP (libwebp), dapat merujuk pada bug yang sama, menurut pendiri Isosceles dan mantan peneliti Google Project Zero Ben Hawkes.
Ada bukti yang menunjukkan bahwa baik CVE-2023-41064, kerentanan buffer overflow di kerangka kerja pemrosesan gambar Image I/O milik Apple, maupun CVE-2023-4863, kerentanan heap buffer overflow di pustaka gambar WebP (libwebp), dapat merujuk pada bug yang sama, menurut pendiri Isosceles dan mantan peneliti Google Project Zero Ben Hawkes.
.
Rezilion, dalam analisis yang dipublikasikan Kamis lalu, mengungkapkan bahwa pustaka libwebp digunakan di beberapa sistem operasi, paket perangkat lunak, aplikasi Linux, dan gambar kontainer, menyoroti bahwa cakupan kerentanan jauh lebih luas daripada yang awalnya diasumsikan
Rezilion, dalam analisis yang dipublikasikan Kamis lalu, mengungkapkan bahwa pustaka libwebp digunakan di beberapa sistem operasi, paket perangkat lunak, aplikasi Linux, dan gambar kontainer, menyoroti bahwa cakupan kerentanan jauh lebih luas daripada yang awalnya diasumsikan
