Apple telah merilis pembaruan keamanan baru-baru ini untuk memperbaiki tiga kerentanan kritis iOS yang ditemukan sedang secara aktif dieksploitasi.
Menurut Shane Huntley, Direktur Threat Analysis Group Google, tiga kerentanan iOS ini masih berkaitan dengan kerentanan zero-day Chrome yang baru-baru ini diungkap dan zero-day Windows yang sebelumnya telah diungkapkan selama dua minggu terakhir.
Sama seperti kasus-kasus sebelumnya, Google belum membagikan detail lebih lanjut tentang penyerang atau target mereka.
Targeted exploitation in the wild similar to the other recently reported 0days. Not related to any election targeting.
— Shane Huntley (@ShaneHuntley) November 5, 2020
Meskipun masih tidak diketahui apakah kerentanan kritis tersebut digunakan dalam operasi tertarget atau secara massal, pengguna iOS disarankan untuk segera memperbarui ke iOS 14.2.
Kerentanan keamanan yang sama juga telah diperbaiki di iPadOS 14.2 dan watchOS 5.3.8, 6.2.9, dan 7.1, dan juga telah di-backport untuk iPhone generasi llawas melalui iOS 12.4.9, yang juga dirilis baru-baru ini.
Baca Juga: “Google Perbaiki Kerentanan Zero-Day Dalam Chrome Untuk Android Yang Sedang Aktif Dieksploitasi“
Menurut ketua tim Google Project Zero, Ben Hawkes, yang mana timnyalah yang menemukan dan melaporkan serangan tersebut ke Apple, tiga kerentanan dalam iOS itu adalah:
- CVE-2020-27930: masalah remote-code-execution di komponen iOS FontParser yang memungkinkan penyerang menjalankan kode dari jarak jauh pada perangkat iOS.
- CVE-2020-27932: kerentanan privilege escalation di kernel iOS yang memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa tingkat kernel.
- CVE-2020-27950: memory leak di kernel iOS yang memungkinkan penyerang untuk mengambil konten dari memori kernel perangkat iOS.
Ketiga kerentanan tersebut diyakini telah digunakan secara bersamaan, bagian dari rantai eksploitasi, yang memungkinkan penyerang menyusupi perangkat iPhone dari jarak jauh.
