Apple telah mengatasi tiga kerentanan zero-day baru yang dieksploitasi dalam serangan untuk meretas iPhone, Mac, dan iPad.
Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif keamanan penasehat menggambarkan kekurangan.
Semua bug keamanan ditemukan di mesin browser multi-platform WebKit dan dilacak sebagai CVE-2023-32409, CVE-2023-28204, dan CVE-2023-32373.
Kerentanan pertama adalah pelarian kotak pasir yang memungkinkan penyerang jarak jauh keluar dari kotak pasir Konten Web.
Dua lainnya adalah pembacaan di luar batas yang dapat membantu penyerang mendapatkan akses ke informasi sensitif dan masalah penggunaan setelah bebas yang memungkinkan pencapaian eksekusi kode arbitrer pada perangkat yang disusupi, keduanya setelah mengelabui target agar memuat halaman web yang dibuat dengan berbahaya ( isi web).
Apple menangani tiga hari nol di macOS Ventura 13.4, iOS dan iPadOS 16.5, tvOS 16.5, watchOS 9.5, dan Safari 16.5 dengan pemeriksaan batas yang ditingkatkan, validasi input, dan manajemen memori.
Daftar perangkat yang terpengaruh cukup luas, karena bug memengaruhi model lama dan baru, dan itu termasuk:
- iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), iPod touch (generasi ke-7), dan iPhone 8 dan lebih baru
- iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru
- Mac menjalankan macOS Big Sur, Monterey, dan Ventura
- Apple Watch Seri 4 dan lebih baru
- Apple TV 4K (semua model) dan Apple TV HD
Perusahaan juga mengungkapkan bahwa CVE-2023-28204 dan CVE-2023-32373 (dilaporkan oleh peneliti anonim) pertama kali ditujukan dengan Patch Rapid Security Response (RSR). untuk perangkat iOS 16.4.1 dan macOS 13.3.1 yang dikeluarkan pada 1 Mei.
Juru bicara Apple tidak menjawab permintaan untuk detail lebih lanjut saat dihubungi oleh BleepingComputer pada saat itu terkait kekurangan apa yang diperbaiki dengan pembaruan RSR Mei.
Enam nol hari ditambal sejak awal 2023
Meskipun Apple mengatakan mengetahui bahwa patch tiga hari nol hari ini sedang dieksploitasi, Apple tidak membagikan informasi apa pun terkait serangan ini.
Namun, penasihat hari ini mengungkapkan bahwa CVE-2023-32409 telah dilaporkan oleh Clément Lecigne dari Grup Analisis Ancaman Google dan Donncha Ó Cearbhaill dari Lab Keamanan Amnesty International.
Organisasi yang menjadi bagian dari kedua peneliti secara teratur mengungkapkan detail tentang kampanye yang didukung negara yang mengeksploitasi bug zero-day untuk menyebarkan spyware tentara bayaran di ponsel cerdas dan komputer politisi, jurnalis, pembangkang, dan banyak lagi.
Pada bulan April, Apple memperbaiki dua hari nol lainnya (CVE-2023-28206 dan CVE-2023-28205) bagian dari rantai eksploit in-the-wild Android, iOS, dan Chrome kerentanan zero-day dan n-day, disalahgunakan untuk menyebarkan spyware komersial pada perangkat berisiko tinggi target di seluruh dunia.
Di bulan Februari, Apple membahas satu lagi WebKit zero-day (CVE-2023-23529) dieksploitasi dalam serangan untuk mendapatkan eksekusi kode pada iPhone, iPad, dan Mac yang rentan.
