Pada hari Selasa, Apple merilis pembaruan keamanan untuk semua tiga cabang iOS dan iPadOS yang didukung.
iOS dan iPadOS 17.4 mencakup perbaikan untuk empat kerentanan:
Dua di antaranya memengaruhi privasi pengguna (mengizinkan aplikasi untuk membaca informasi lokasi sensitif dan membuat tab terkunci pengguna terlihat) CVE-2024-23225, masalah korupsi memori di kernel OS yang dapat memungkinkan penyerang melewati perlindungan memori kernel CVE-2024-23296, masalah korupsi memori di RTKit (sistem operasi tertanam/waktu nyata milik Apple) yang juga dapat memungkinkan penyerang melewati perlindungan memori kernel CVE-2024-23225 juga telah diperbaiki dalam iOS/iPadOS 16.7.6. "Entri CVE tambahan [akan] segera hadir," catat Apple untuk kedua pembaruan tersebut.
Pembaruan iOS/iPadOS 15.8.2 saat ini tidak memiliki CVE terkait.
Biasanya Apple tidak membagikan detail tentang serangan di dunia nyata yang memanfaatkan zero-day mereka, namun mereka biasanya mengakui orang/tim riset yang melaporkannya - tetapi kali ini tidak.
Pentingnya Memasang Patch Zero-day di iOS sering dieksploitasi oleh pembuat spyware seluler untuk memasang malware pada target yang dapat mengekstrak data sensitif dari iPhone mereka dan memata-matai percakapan.
Spyware mahal ini digunakan secara terbatas untuk mengkompromikan target tertentu, sehingga tidak menjadi masalah bagi sebagian besar pengguna.
Namun, dengan Apple yang dipaksa untuk mengizinkan toko aplikasi pihak ketiga untuk aplikasi iOS di Eropa, aplikasi berbahaya yang kadang-kadang mengintai di App Store, dan aktor ancaman yang semakin mengembangkan dan mencari malware yang dapat berjalan di iOS dan macOS, memperbarui perangkat Apple secara teratur menjadi semakin penting.
PEMBARUAN (8 Maret 2024, 04:50 ET):
Pada hari Kamis, Apple merilis pembaruan untuk macOS, watchOS, tvOS, visionsOS, dan Safari.
Dua zero-day (CVE-2024-23225, CVE-2024-23296) yang sebelumnya diperbaiki di iOS juga diatasi dalam pembaruan untuk macOS Sonoma, watchOS, tvOS, dan visionOS, sementara Monterey dan Ventura hanya menerima patch untuk CVE-2024-23225.
Perusahaan mendesak pengguna untuk memperbarui ke versi berikut:
Safari 17.4 macOS Sonoma 14.4 macOS Ventura 13.6.5 macOS Monterey 12.7.4 watchOS 10.4 tvOS 17.4 visionOS 1.1 Perusahaan juga telah memperbarui daftar kerentanan yang diperbaiki dalam pembaruan iOS/iPadOS yang dirilis pada hari Selasa.
Source: https://www.helpnetsecurity.com/2024/03/06/cve-2024-23225-cve-2024-23296/
Source: https://www.helpnetsecurity.com/2024/03/06/cve-2024-23225-cve-2024-23296/