Apple telah merilis pembaruan keamanan untuk iOS, iPadOS, macOS, visionOS, dan browser web Safari untuk mengatasi dua kelemahan zero-day yang telah dieksploitasi secara aktif di alam liar.
Kelemahannya tercantum di bawah ini –
- CVE-2024-44308 – Kerentanan di JavaScriptCore yang dapat menyebabkan eksekusi kode arbitrer saat memproses konten web berbahaya
- CVE-2024-44309 – Kerentanan manajemen cookie di WebKit yang dapat menyebabkan serangan skrip lintas situs (XSS) saat memproses konten web berbahaya
Pembuat iPhone mengatakan pihaknya masing-masing menangani CVE-2024-44308 dan CVE-2024-44309 dengan pemeriksaan yang lebih baik dan manajemen status yang lebih baik.
Tidak banyak yang diketahui tentang sifat sebenarnya dari eksploitasi tersebut, namun Apple telah mengakui bahwa pasangan kerentanan tersebut “mungkin telah dieksploitasi secara aktif pada sistem Mac berbasis Intel.”
Clément Lecigne dan Benoît Sevens dari Grup Analisis Ancaman (TAG) Google dianggap telah menemukan dan melaporkan dua kelemahan tersebut, yang mengindikasikan bahwa kelemahan tersebut kemungkinan dimanfaatkan sebagai bagian dari serangan spyware yang didukung pemerintah atau tentara bayaran.
Pembaruan tersedia untuk perangkat dan sistem operasi berikut –
- iOS 18.1.1 dan iPadOS 18.1.1 – iPhone XS dan versi lebih baru, iPad Pro 13 inci, iPad Pro 12,9 inci generasi ke-3 dan versi lebih baru, iPad Pro 11 inci generasi ke-1 dan versi lebih baru, iPad Air generasi ke-3 dan versi lebih baru, iPad ke-7 generasi dan lebih baru, serta iPad mini generasi ke-5 dan lebih baru
- iOS 17.7.2 dan iPadOS 17.7.2 – iPhone XS dan versi lebih baru, iPad Pro 13 inci, iPad Pro 12,9 inci generasi ke-2 dan versi lebih baru, iPad Pro 10,5 inci, iPad Pro 11 inci generasi ke-1 dan versi lebih baru, iPad Air ke-3 generasi ke atas, iPad generasi ke-6 dan ke atas, serta iPad mini generasi ke-5 dan ke atas
- macOS Sequoia 15.1.1 – Mac yang menjalankan macOS Sequoia
- visionOS 2.1.1 – Apple Vision Pro
- Safari 18.1.1 – Mac yang menjalankan macOS Ventura dan macOS Sonoma
Apple sejauh ini telah mengatasi total empat zero-day dalam perangkat lunaknya pada tahun ini, termasuk satu (CVE-2024-27834) yang didemonstrasikan pada kompetisi peretasan Pwn2Own Vancouver. Tiga lainnya telah ditambal pada bulan Januari dan Maret 2024.
Pengguna disarankan untuk memperbarui perangkat mereka ke versi terbaru sesegera mungkin untuk melindungi dari potensi ancaman.