Cyberthreat.id – Apple telah merilis pembaruan keamanan darurat untuk mengatasi kerentanan zero-day baru yang digunakan dalam serangan untuk meretas iPhone, iPad, dan Mac.

Dikutip dari Bleeping Computer, patch zero-day ini dilacak sebagai CVE-2023-23529 dan merupakan masalah kebingungan WebKit yang dapat dieksploitasi untuk memicu crash OS dan mendapatkan eksekusi kode pada perangkat yang disusupi.

Eksploitasi yang berhasil memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang menjalankan versi iOS, iPadOS, dan macOS yang rentan setelah membuka halaman web berbahaya (bug juga memengaruhi Safari 16.3.1 di macOS Big Sur dan Monterey).

“Memproses konten web yang dibuat dengan jahat dapat menyebabkan eksekusi kode arbitrer," kata Apple saat menjelaskan zero-day, Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif,” kata perusahaan tersebut.

Apple menangani CVE-2023-23529 dengan pemeriksaan yang ditingkatkan di iOS 16.3.1, iPadOS 16.3.1, dan macOS Ventura 13.2.1.

Daftar lengkap perangkat yang terpengaruh cukup luas, karena bug memengaruhi model lama dan baru, dan itu termasuk iPhone 8 dan yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5.

Hari ini, Apple juga menambal penggunaan kernel setelah cacat bebas (CVE-2023-23514) yang dilaporkan oleh Xinru Chi dari Pangu Lab dan Ned Williamson dari Google Project Zero yang dapat menyebabkan kode arbitrer dengan hak istimewa kernel di Mac dan iPhone.

Meskipun perusahaan mengungkapkan bahwa mereka mengetahui laporan eksploitasi in-the-wild, namun belum mempublikasikan informasi mengenai serangan ini.

Dengan membatasi akses ke informasi ini, Apple kemungkinan ingin mengizinkan sebanyak mungkin pengguna untuk memperbarui perangkat mereka sebelum lebih banyak penyerang mengetahui detail zero-day untuk mengembangkan dan menerapkan eksploitasi khusus mereka sendiri yang menargetkan iPhone, iPad, dan Mac yang rentan.

Meskipun bug zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, sangat disarankan untuk menginstal pembaruan darurat hari ini sesegera mungkin untuk memblokir upaya serangan potensial.

Bulan lalu, Apple juga mendukung patch keamanan untuk kelemahan zero-day yang dapat dieksploitasi dari jarak jauh yang ditemukan oleh Clément Lecigne dari Grup Analisis Ancaman Google ke iPhone dan iPad lama.