Apple telah merilis pembaruan keamanan baru-baru ini untuk memperbaiki tiga kerentanan kritis iOS lainnya yang sedang aktif dieksploitasi.
Ketiga zero-day dilaporkan ke Apple oleh peneliti anonim dan patch tersedia sebagai bagian dari iOS 14.4.
Zero-day pertama memengaruhi kernel sistem operasi iOS (CVE-2021-1782), dan dua lainnya ditemukan di WebKit (CVE-2021-1870 dan CVE-2021-1871).
Baca Juga: “55 Kerentanan Ditemukan Dalam Perangkat Lunak dan Layanan Apple“
Kerentanan kernel iOS dideskripsikan sebagai bug race condition yang memungkinkan penyerang meningkatkan hak istimewa untuk kode serangan mereka.
Dua zero-day WebKit dideskripsikan sebagai “masalah logika” yang memungkinkan penyerang jarak jauh mengeksekusi kode berbahaya mereka sendiri di dalam browser Safari pengguna.
Peneliti keamanan percaya bahwa tiga kerentanan kritis iOS ini adalah bagian dari rantai eksploitasi di mana pengguna dikelabui untuk mengunjungi situs berbahaya yang memanfaatkan bug WebKit untuk menjalankan kode yang kemudian meningkatkan hak istimewanya untuk menjalankan kode tingkat sistem dan menyusupi OS.
Baca Juga: “Apple Perbaiki 3 Kerentanan Kritis iOS Yang Sedang Aktif Dieksploitasi“
Namun, detail resmi tentang serangan di mana kerentanan ini digunakan tidak dipublikasikan, seperti yang umum terjadi pada sebagian besar pengungkapan zero-day Apple saat ini. Apple juga menolak untuk meberikan komentar lebih lanjut.
Tiga kerentanan ini ditemukan setelah Apple memperbaiki set tiga zero-day iOS lainnya pada November 2020. Zero-day pada November 2020 tersebut ditemukan oleh salah satu tim keamanan Google.
