Apple telah merilis pembaruan darurat untuk mendukung patch keamanan dirilis pada hari Jumatmengatasi dua kelemahan zero-day yang dieksploitasi secara aktif yang juga memengaruhi iPhone, iPad, dan Mac lama.
Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif keamanan penasehat diterbitkan pada hari Senin.
Yang pertama (dilacak sebagai CVE-2023-28206) adalah kelemahan tulis di luar batas di IOSurfaceAccelerator yang memungkinkan pelaku ancaman mengeksekusi kode arbitrer dengan hak istimewa kernel pada perangkat yang ditargetkan melalui aplikasi yang dibuat dengan jahat.
Zero-day kedua (CVE-2023-28205) adalah penggunaan WebKit setelah bebas yang memungkinkan pelaku ancaman mengeksekusi kode berbahaya pada iPhone, Mac, atau iPad yang dikompromikan setelah mengelabui target mereka agar memuat halaman web berbahaya.
Hari ini, Apple membahas zero-days in iOS 15.7.5 dan iPadOS 15.7.5, macOS Monterey 12.6.5Dan macOS Big Sur 11.7.6 dengan meningkatkan validasi input dan manajemen memori.
Perusahaan mengatakan bug sekarang juga ditambal pada daftar perangkat berikut:
- iPhone 6s (semua model),
- iPhone 7 (semua model),
- iPhone SE (generasi pertama),
- iPad Air 2,
- iPad mini (generasi ke-4),
- iPod touch (generasi ke-7),
- dan Mac yang menjalankan macOS Monterey dan Big Sur.
Cacat tersebut dilaporkan oleh peneliti keamanan dengan Grup Analisis Ancaman Google dan Lab Keamanan Amnesty International, yang telah menemukan mereka dieksploitasi dalam serangan sebagai bagian dari rantai eksploitasi.
Kedua organisasi sering melaporkan aktor ancaman yang didukung pemerintah yang menggunakan taktik dan kerentanan serupa untuk menginstal spyware ke perangkat individu berisiko tinggi di seluruh dunia, seperti jurnalis, politisi, dan pembangkang.
Misalnya, mereka baru-baru ini membagikan detail tentang kampanye menyalahgunakan dua rantai eksploitasi menargetkan bug Android, iOS, dan Chrome untuk menginstal malware pengawasan komersial.
CISA juga memerintahkan agen federal untuk menambal perangkat mereka terhadap dua kerentanan keamanan ini, yang dikenal sebagai dieksploitasi secara aktif untuk meretas iPhone, Mac, dan iPad.
Pada pertengahan Februari, Apple menambal WebKit zero-day lainnya (CVE-2023-23529) yang sedang dalam serangan untuk memicu crash dan mendapatkan eksekusi kode pada perangkat iOS, iPadOS, dan macOS yang rentan.
