Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Info Cybersecurity

Perintah Darurat dari AS: Bug Zero-Day Tebaru Ancam iPhone, Mac, dan iPad!

Posting Komentar

Zero Day Bug Apple

Berita CybersecurityZero Day Bug Apple - Badan Keamanan Siber & Infrastruktur AS Memerintahkan Perbaikan Bug Zero-Day di iPhone, Mac, dan iPad

Badan Keamanan Siber & Infrastruktur AS (CISA) telah mengeluarkan perintah kepada agen federal untuk mengatasi tiga kelemahan zero-day yang baru-baru ini ditemukan dan dieksploitasi pada iPhone, Mac, dan iPad.

CVE-2023-32409, CVE-2023-28204, dan CVE-2023-32373 adalah tiga bug keamanan yang terkait dengan mesin browser WebKit. Ketiga bug ini memungkinkan penyerang keluar dari lingkungan aman browser, mengakses informasi sensitif pada perangkat yang terinfeksi, dan menjalankan kode yang tidak diinginkan setelah berhasil dieksploitasi.

Apple telah menyadari bahwa masalah ini kemungkinan telah dieksploitasi secara aktif, seperti yang dilaporkan oleh BleepingComputer.

Bug zero-day ini telah ditangani melalui pembaruan macOS Ventura 13.4, iOS dan iPadOS 16.5, tvOS 16.5, watchOS 9.5, dan Safari 16.5. Pembaruan ini mencakup pemeriksaan batas yang ditingkatkan, validasi input, dan manajemen memori.

Berikut ini adalah daftar perangkat yang terpengaruh:

  • iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), iPod touch (generasi ke-7), iPhone 8, dan model yang lebih baru.
  • iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru.
  • Mac dengan macOS Big Sur, Monterey, dan Ventura.
  • Apple Watch Seri 4 dan model yang lebih baru.
  • Apple TV 4K (semua model) dan Apple TV HD.

Penggunaan Bug dalam Serangan Spyware

Meskipun Apple belum memberikan rincian spesifik tentang serangan yang memanfaatkan bug ini, terungkap bahwa CVE-2023-32409 dilaporkan oleh Clément Lecigne dari Grup Analisis Ancaman Google dan Donncha Ó Cearbhaill dari Lab Keamanan Amnesty International.

Kedua peneliti tersebut dan organisasi mereka sering kali mengungkapkan informasi tentang kampanye yang disponsori oleh negara untuk mengeksploitasi kerentanan zero-day guna memasang spyware pengawasan pada perangkat milik politisi, jurnalis, aktivis, dan individu lainnya dalam serangan yang sangat ditargetkan.

Misalnya, pada bulan Maret, mereka mengungkapkan detail tentang dua kampanye baru yang menggunakan rantai eksploitasi kerentanan kompleks pada Android, iOS, dan Chrome untuk memasang spyware berbayar. Salah satunya adalah kelemahan dalam Samsung ASLR yang telah diingatkan oleh CISA pada hari Jumat.

Batas Waktu Perbaikan adalah 12 Juni

Sesuai dengan arahan operasional yang berlaku (BOD 22-01) yang dikeluarkan pada November 2022, Federal Civilian Executive Branch Agencies (FCEB) diharuskan menerapkan pembaruan ke sistem mereka untuk semua bug keamanan yang terdaftar dalam Katalog Kerentanan yang Dieksploitasi yang disediakan oleh CISA.

Dengan pembaruan yang dirilis hari ini, agensi FCEB diwajibkan untuk memperbarui perangkat iOS, iPadOS, dan macOS mereka sebelum 12 Juni 2023.

Meskipun arahan ini ditujukan terutama kepada agen federal AS, sangat disarankan agar perusahaan swasta juga memberikan prioritas tinggi untuk memperbaiki kerentanan yang terdaftar dalam daftar Kerentanan yang Dieksploitasi yang diterbitkan oleh CISA.

"Cara kerentanan semacam ini sering digunakan sebagai vektor serangan oleh pihak-pihak yang berbahaya di dunia maya dan menyebabkan risiko yang signifikan bagi perusahaan-perusahaan federal," kata CISA pada hari Senin.

Pada bulan April, agen federal juga telah diingatkan untuk mengamankan iPhone dan Mac yang terhubung ke jaringan mereka dari dua kelemahan keamanan lainnya pada iOS dan macOS yang dilaporkan oleh Tim Analisis Ancaman Google dan Amnesty International.

Anda mungkin menyukai postingan ini :

Posting Komentar untuk "Perintah Darurat dari AS: Bug Zero-Day Tebaru Ancam iPhone, Mac, dan iPad!"