Apple Rilis Patch Keamanan Darurat untuk Lindungi Perangkat dari Serangan Zero-Day

Ilustrasi: Selain menjadi toko ritel pertama di Asia Tenggara, Apple Store ini juga menjadi toko pertama yang sepenuhnya menggunakan energi terbarukan (sumber : bgr.com)

Liputan6.com, Jakarta - iOS 17 dan iPadOS 17 baru saja meluncur ke pengguna iPhone dan iPad di dunia pada Selasa, 19 September 2023. Apple pun mengulirkan patch keamanan darurat, padahal baru dua hari OS tersebut dirilis.

Pada 21 September 2023, Apple melakukan pembaruan iOS 17, iPadOS 17 dan WatchOS 10. Pembaruan ini menghadirkan perbaikan untuk mengatasi beberapa kerentanan zero-day berpotensi membuat perangkat rentan terhadap serangan berbahaya.

Di halaman dukungan pembaruan iOS, iPadOS dan WatchOS, Apple mengungkapkan kerentanan mungkin telah dieksploitasi secara aktif pada versi sebelum iOS 16.7.

Mengutip dari Bleepingcomputer, Minggu (24/9/2023), Apple memperbaiki sebanyak 16 kerentanan zero-day di tahun ini. Dua bug ditemukan di mesin browser WebKit (CVE-2023-41993) dan kerangka keamanan (CVE-2023-41991).

Ini memungkinkan pelaku kejahata melewati validasi signature menggunakan aplikasi berbahaya atau mendapatkan eksekusi kode arbitrer melalui halaman web perusak.

Bug ketiga ditemukan di Kernel Framework (CVE-2023-41992), menyediakan API dan dukungan untuk ekstensi kernel dan driver perangkat di kernel. Penyerang dapat mengeksploitasi kelemahan ini untuk meningkatkan hak istimewa.

Apple memperbaiki tiga zero-day bug di macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, dan WatchOS 9.6.3/10.0.1 dengan mengatasi masalah validasi sertifikat melalui pemeriksaan yang ditingkatkan.

Ketiga zero-day ini ditemukan dan dilaporkan oleh Bill Marczak dari Citizen Lab, Munk School Universitas Toronto dan Maddie Stone dari Grup Analisis Ancaman Google.

Meskipun Apple tidak mengungkapkan rincian spesifik tentang kerentanan keamanan, tetapi perusahaan tersebut memberikan penghargaan atas penemuan bug tersebut kepada Marczak dan Stone, ZDNet melaporkan.

2 dari 4 halaman

Apple Telah Menemukan Beberapa Zero-day Bug Sejak Awal Tahun 2023

FOTO: Apple Luncurkan iPhone 12 Berteknologi 5G — Tampilan iPhone 12 dengan teknologi 5G yang baru diluncurkan Apple, Selasa (13/10/2020. Apple meluncurkan seri iPhone 12 yang mendukung teknologi seluler 5G. (Apple via AP)

Dilaporkan dari Bleepingcomputer, Apple belum memberikan rincian tambahan mengenai eksploitasi kelemahan ini. Namun, peneliti keamanan Citizen Lab dan Grup Analisis Ancaman Google mengungkapkan bug zero-day yang disalahgunakan dalam serangan spyware berisiko tinggi.

Citizen Lab juga mengungkapkan, dua zero-day lainnya yang diperbaiki oleh Apple dalam pembaruan keamanan darurat awal bulan September ini, CVE-2023-41061 dan CVE-2023-41064.

Bug ini disalahgunakan sebagai bagian dari rantai eksploitasi zero klik untuk menginfeksi iPhone yang telah ditambal sepenuhnya dengan spyware komersial Pegasus dari NSO grup.

Dengan menargetkan pejabat pemerintah, aktivis politik, dan jurnalis, Pegasus mampu mengakses perangkat dari jarak jauh untuk mengumpulkan data, memantau obrolan dan pertukaran email, serta memata-matai pengguna melalui kamera dan mikrofon perangkat.

Dan sejak awal tahun 2023, Apple telah melakukan beberapa patch, di antaranya:

Bulan Februari: zero-day WebKit CVE-2023-23529.
Bulan April: zero-day CVE-2023-28206 dan CVE-2023-28205.
Bulan Mei: zero-day CVE-2023-32409, CVE-2023-28204, dan CVE-2023-32373.
Bulan Juni: zero-day CVE-2023-32434, CVE-2023-32435, dan CVE-2023-32439.
Bulan Juli: zero-day CVE-2023-37450 dan CVE-2023-38606.

3 dari 4 halaman

Pengguna iPhone, iPad, Apple Watch, dan MacOS Dihimbau Untuk Lakukan Pembaruan

Para pembeli pertama iPhone 12 memamerkan perangkat yang baru dibelinya di Apple Store Orchard Road Singapura (Foto: Apple Newsroom)

Dilansir ZD Net, Sabtu (23/9/2023), para pengguna iPhone dan iPad kini dapat melakukan pembaruan perangkatnya. iOS 16.6.1 dan iPadOS 16.6.1 kini tersedia untuk diinstal di iPhone 8 dan versi lebih baru, semua model iPad Pro, iPad Air generasi ke-3 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, dan iPad mini generasi ke-5 dan lebih baru.

Untuk melakukan pembaruan, caranya: Buka Settings > General > Software Update. Ketuk Download dan Install untuk menerapkan pembaruan.

Bagi pengguna Apple Watch, WatchOS 9.6.2 kini dapat diinstal di Apple Watch Series 4 dan versi lebih baru. Caranya: Buka aplikasi Watch > General > Software Update, lalu ketuk Download dan Install.

Dan untuk pengguna Mac, MacOS Ventura 13.5.2 sudah tersedia. Untuk melakukan pembaruan, klik ikon Apple dan pilih System Settings. Klik General > Software Update > Klik tombol untuk instal pembaruan.

4 dari 4 halaman

Pakar Keamanan Temukan Spyware Pegasus di iPhone

Spyware Pegasus buatan perusahaan Israel, NSO Group. JOEL SAGET/AFP

Para peneliti di kelompok pengawas digital Citizen Lab mengatakan, mereka menemukan spyware yang terhubung dengan perusahaan Israel NSO--perusahaan kecerdasan siber Israel, yang mengeksploitasi bug di perangkat Apple.

Mengutip Reuters, Selasa (12/9/2023), Citizen Lab menemukan bug pada perangkat Apple milik seorang karyawan kelompok masyarakat sipil telah dieksploitasi spyware Pegasus milik NSO.

Menurut Citizen Lab, mereka dapat menemukan spyware Pegasus ini karena penyerang melakukan kesalahan instalasi.

Mereka juga mengatakan, Apple telah mengkonfirmasi kalau penggunaan fitur keamanan tinggi "Lockdown Mode" yang tersedia di perangkat mereka dapat memblokir serangan ini.

Perlu diketahui, bug itu disebut mampu menembus iPhone yang menjalankan versi terbaru iOS 16.6 tanpa interaksi apa pun dari korban. Namun, masalah bug ini dapat diatasi dengan melakukan pembaruan ke versi iOS 16.6.1.

Apple mengeluarkan update tersebut setelah melakukan penyelidikan. Juru bicara perusahaan menuturkan, tidak memiliki komentar lebih lanjut, dan Citizen Lab mendesak konsumen untuk memperbarui perangkat mereka.