Apple telah merilis pembaruan keamanan yang memperbaiki 2 kerentanan kritis iOS di mesin Webkit yang secara aktif dieksploitasi oleh aktor ancaman untuk menyerang perangkat iPhone, iPad, iPod, macOS, dan Apple Watch.
2 kerentanan kritis iOS tersebut dilacak sebagai CVE-2021-30665 dan CVE-2021-30663, dan keduanya memungkinkan remote code execution (RCE) pada perangkat yang rentan hanya dengan mengunjungi situs web berbahaya.
Kerentanan RCE dianggap paling berbahaya karena memungkinkan penyerang menargetkan perangkat yang rentan dan menjalankan perintah pada perangkat tersebut dari jarak jauh.
CVE-2021-30665 ditemukan oleh Yang Kang, zerokeeper, dan Bian Liang dari Qihoo 360 ATA, sementara CVE-2021-30663 dilaporkan ke Apple oleh seorang peneliti anonim.
Daftar perangkat yang terpengaruh meliputi:
- iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, dan iPod touch (generasi ke-7)
- macOS Big Sur
- Apple Watch Series 3 dan versi lebih baru
Zero-day telah ditangani oleh Apple baru-baru ini di pembaruan  iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1, dan watchOS 7.4.1.
Baca Juga: “Apple Perbaiki Kerentanan Zero-Day MacOS Yang Dieksploitasi Oleh Malware Shlayer“
Pembaruan ini juga menyelesaikan bug yang mencegah pengguna melihat permintaan App Tracking Transparency dalam aplikasi.
“Pembaruan ini memperbaiki masalah App Tracking Transparency di mana beberapa pengguna yang sebelumnya menonaktifkan permintaan izin aplikasi untuk melacak di pengaturan mungkin tidak menerima perintah dari aplikasi setelah mengaktifkannya kembali,” kata Apple dalam catatan rilis iOS 14.5.1 mereka.
Apple telah menangani kerentanan zero-day lain yang dieksploitasi secara aktif selama beberapa bulan terakhir, dengan satu diperbaiki di macOS bulan lalu dan banyak kerentanan iOS lainnya diperbaiki pada bulan-bulan sebelumnya.
