Pengguna iPhone Didesak untuk Update ke Patch 2 Zero-Days

Apple mendesak pengguna macOS, iPhone, dan iPad segera menginstal pembaruan masing-masing minggu ini yang mencakup perbaikan selama dua hari nol di bawah serangan aktif. Tambalan adalah untuk kerentanan yang memungkinkan penyerang mengeksekusi kode arbitrer dan akhirnya mengambil alih perangkat.

Tambalan tersedia untuk perangkat yang terpengaruh berjalan iOS 15.6.1 dan macOS Monterey 12.5.1. Patch mengatasi dua kelemahan, yang pada dasarnya berdampak pada perangkat Apple apa pun yang dapat menjalankan iOS 15 atau versi Monterey dari OS desktopnya, menurut pembaruan keamanan yang dirilis oleh Apple Wednesday.

Salah satu kekurangannya adalah bug kernel (CVE-2022-32894), yang hadir di iOS dan macOS. Menurut Apple itu adalah "masalah penulisan di luar batas [yang] telah diatasi dengan pemeriksaan batas yang ditingkatkan."

Kerentanan memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak kernel, menurut Apple, yang, dengan cara yang tidak jelas, mengatakan ada laporan bahwa itu "mungkin telah dieksploitasi secara aktif."

Cacat kedua diidentifikasi sebagai bug WebKit (dilacak sebagai CVE-2022-32893), yang merupakan masalah penulisan di luar batas yang ditangani Apple dengan pemeriksaan batas yang ditingkatkan. Cacat ini memungkinkan untuk memproses konten web yang dibuat dengan jahat yang dapat menyebabkan eksekusi kode, dan juga telah dilaporkan berada di bawah eksploitasi aktif, menurut Apple. WebKit adalah mesin peramban yang mendukung Safari dan semua peramban pihak ketiga lainnya yang bekerja di iOS.

Skenario Seperti Pegasus

Penemuan kedua kekurangan itu, yang sedikit lebih banyak di luar pengungkapan Apple diketahui, dikreditkan ke peneliti anonim.

Seorang ahli menyatakan kekhawatirannya bahwa kelemahan Apple terbaru “dapat secara efektif memberi penyerang akses penuh ke perangkat,” mereka mungkin membuat Seperti pegasus skenario yang mirip dengan skenario di mana APT negara-bangsa menyerang target dengan spyware dibuat oleh Israel NSO Group dengan mengeksploitasi kerentanan iPhone.

“Bagi kebanyakan orang: perbarui perangkat lunak pada akhir hari,” tweeted Rachel Torac, CEO SocialProof Security, tentang zero-days. “Jika model ancaman ditinggikan (wartawan, aktivis, ditargetkan oleh negara bangsa, dll): perbarui sekarang,” Torac memperingatkan.

Nol-Hari Berlimpah

Cacat itu terungkap bersamaan dengan berita lain dari Google minggu ini bahwa itu sedang menambal zero-day kelima sepanjang tahun ini untuk browser Chrome-nya, bug eksekusi kode arbitrer yang diserang secara aktif.

Berita tentang lebih banyak kerentanan dari vendor teknologi papan atas yang dibombardir oleh aktor ancaman menunjukkan bahwa meskipun ada upaya terbaik dari perusahaan teknologi papan atas untuk mengatasi masalah keamanan abadi dalam perangkat lunak mereka, itu tetap merupakan perjuangan berat, kata Andrew Whaley, direktur teknis senior di Promon, sebuah perusahaan keamanan aplikasi Norwegia.

Cacat di iOS sangat mengkhawatirkan, mengingat iPhone ada di mana-mana dan ketergantungan pengguna pada perangkat seluler untuk kehidupan sehari-hari mereka, katanya. Namun, tanggung jawab tidak hanya pada vendor untuk melindungi perangkat ini tetapi juga bagi pengguna untuk lebih waspada terhadap ancaman yang ada, Whaley mengamati.

“Meskipun kita semua bergantung pada perangkat seluler kita, mereka tidak kebal, dan sebagai pengguna kita perlu menjaga kewaspadaan kita seperti yang kita lakukan pada sistem operasi desktop,” katanya dalam email ke Threatpost.

Pada saat yang sama, pengembang aplikasi untuk iPhone dan perangkat seluler lainnya juga harus menambahkan lapisan kontrol keamanan ekstra dalam teknologi mereka sehingga mereka tidak terlalu bergantung pada keamanan OS untuk perlindungan, mengingat kelemahan yang sering muncul, menurut pengamatan Whaley.

“Pengalaman kami menunjukkan bahwa ini tidak cukup terjadi, berpotensi membuat perbankan dan pelanggan lainnya rentan,” katanya.