Apple Menambal Dua Vuln yang Dieksploitasi Secara Aktif di Monterey 12.5.1, iOS dan iPadOS 15.6.1

Apple Merilis iOS 12.5.6 untuk Model iPhone, iPad, iPod touch Lama untuk Memperbaiki Kerentanan yang Dieksploitasi Secara Aktif

apel

Diposting pada 31 Agustus 2022 oleh Joshua Long

Pada hari Rabu, 31 Agustus, Apple merilis pembaruan keamanan kejutan untuk iOS 12 untuk memperbaiki kerentanan “dieksploitasi secara aktif” (yaitu di alam liar, nol hari). Apple sebelumnya menambal kerentanan yang sama untuk iOS 15 pada 17 Agustus.

Mari kita lihat apa yang ditawarkan pembaruan ini, serta apa yang dilakukan Apple dengan benar dan apa yang bisa dilakukan perusahaan dengan lebih baik. Kami juga akan memeriksa apakah akan mengharapkan pembaruan keamanan iOS 12 lebih lanjut di masa mendatang.

Dalam artikel ini:

iOS 12.5.6 Menambal Satu Kerentanan Kritis

Apple hanya menunjukkan bahwa satu kerentanan terkait keamanan disertakan dalam pembaruan ini. Namun demikian, itu cukup serius dan membutuhkan penambalan segera:

WebKit
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.*
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
WebKit Bugzilla: 243557
CVE-2022-32893: seorang peneliti anonim

*penekanan ditambahkan

Itu semua detail yang telah diterbitkan Apple mengenai konten keamanan iOS 12.5.6.

Pembaruan iOS 12.5.6 tersedia untuk perangkat keras berikut: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, dan iPod touch (generasi ke-6).

Semua model lebih tua dari yang terdaftar sangat rentan terhadap ancaman keamanan dan privasi yang signifikan, dan tidak boleh digunakan untuk penjelajahan Web, email, atau penggunaan online lainnya.

Semua model lebih baru dari yang tercantum mampu menjalankan iOS 15 atau iPadOS 15, dan harus diperbarui. Namun, khusus untuk beberapa model iPhone yang menjalankan iOS 15 tidak akan dapat menjalankan iOS 16. Hal yang sama berlaku untuk iPad sehubungan dengan iPadOS 15 dan iPadOS 16. Sementara itu, Apple telah memilih untuk mengecualikan semua model iPod touch agar tidak dapat menjalankan iOS 16, termasuk model generasi ke-7 (dan terakhir) yang baru-baru ini dihentikan pada bulan Mei.

Keusangan yang Direncanakan Apple: iOS 16, macOS Ventura Drop Dukungan untuk Banyak Model

Sayangnya, mungkin diperlukan waktu selama 1-4 minggu untuk meluncurkan versi iOS atau iPadOS baru ke pelanggan (seperti yang dibahas di episode 233 dari Podcast Intego Mac). Pengguna yang mengetahui pembaruan lebih cepat melalui Apple pihak ketiga atau sumber berita keamanan, seperti Intego Blog Keamanan Macdapat memeriksa pembaruan baru secara manual saat dirilis.

Untuk menginstal pembaruan iOS atau iPadOS terbaru, periksa app Pengaturan di perangkat Anda: Pengaturan > Umum > Pembaruan perangkat lunak. Prosesnya sama terlepas dari apakah Anda menggunakan iPhone, iPad, atau iPod touch.

Apa yang dilakukan Apple dengan benar?

Satu perubahan yang sangat disambut baik di Apple Catatan rilis iOS 12.5.6 adalah kalimat singkat yang menjelaskan, “iOS 12 tidak terpengaruh oleh CVE-2022-32894.” Nomor CVE ini dikaitkan dengan kerentanan kedua yang ditambal dua minggu lalu di iOS 15.6.1, iPadOS 15.6.1, dan macOS Monterey 12.5.1.

Apple sangat jarang membuat pernyataan publik tentang mengapa kerentanan tertentu tidak ditambal untuk versi sistem operasi yang lebih lama. Sangat menyenangkan melihat Apple menjadi lebih transparan tentang hal ini dengan iOS 12.5.6. Kami berharap bahwa ini adalah tanda dari hal-hal yang akan datang.

Pembaruan keamanan iOS 12 terakhir?

Itu juga bagus untuk melihat Apple masih merilis setidaknya beberapa pembaruan keamanan minimal untuk kerentanan yang diketahui dieksploitasi di iOS 12. Namun, hanya waktu yang akan memberi tahu apa yang akan terjadi setelah rilis iOS 16 dan iPadOS 16.

Dengan iOS 15 dan iPadOS 15 menjadi “iOS 12 baru” dalam hal menjadi sistem operasi terakhir yang didukung untuk sejumlah model perangkat keras, ada kemungkinan bahwa Apple mungkin akan menghapus semua pembaruan keamanan untuk iOS 12 di masa mendatang, dan sebagai gantinya hanya mengeluarkan pembaruan minimal untuk iOS 15 dan iPadOS 15.

Sebagai referensi, perangkat keras berikut selamanya terbatas pada iOS 12:

  • iPhone 5s, iPhone 6, iPhone 6 Plus
  • iPad Air, iPad mini 2, iPad mini 3
  • iPod touch (generasi ke-6)

Perangkat keras berikut selamanya terbatas pada iOS 15 atau iPadOS 15:

  • iPhone 6s, iPhone 6s Plus, iPhone SE (generasi ke-1), iPhone 7, iPhone 7 Plus
  • iPad Air 2, iPad mini 4
  • iPod touch (generasi ke-7)

Apple belum membuat pernyataan publik tentang apakah versi iOS atau iPadOS sebelumnya akan terus mendapatkan pembaruan keamanan setelah rilis iOS 16 dan iPadOS 16. Kami telah menanyakan kepada Apple, dan kami akan memperbarui artikel ini jika perwakilan perusahaan merespons .

Apa yang bisa dilakukan Apple dengan lebih baik?

Ada penundaan dua minggu antara rilis iOS 15.6.1 dan iOS 12.5.6; yang pertama memperbaiki kerentanan keamanan yang sama yang diterapkan pada yang terakhir. Dua minggu adalah waktu yang lama untuk menunggu untuk mendapatkan patch untuk kerentanan yang sudah diketahui dieksploitasi secara aktif di alam liar. Sisi baiknya, dua minggu lebih baik daripada enam setengah minggu yang Apple ambil untuk menambal kerentanan yang dieksploitasi secara aktif di macOS Big Sur dan macOS Catalina setelah pembaruan macOS Monterey awal tahun ini.

Mungkin masalah yang lebih buruk adalah itu Pembaruan iOS 14 dan iPadOS 14 tidak dapat ditemukan. Apple berjanji di WWDC 2021, dan terus mengklaim di banyak tempat di situsnya, pengguna dapat “terus menggunakan iOS atau iPadOS 14 sambil tetap mendapatkan pembaruan keamanan penting untuk jangka waktu tertentu.” Terbukti, “periode waktu” itu hanya 36 hari setelah rilis iOS 15; Apple belum merilis pembaruan iOS 14 atau iPadOS 14 sejak 14.8.1 pada Oktober 2021.

Kami telah bertanya kepada Apple apakah mereka berencana untuk merilis pembaruan lebih lanjut untuk iOS 14 dan iPadOS 14. Jika perwakilan Apple merespons, kami akan memperbarui artikel ini dengan pernyataan perusahaan.

Selain itu, meskipun bagus bahwa Apple secara khusus menyatakan bahwa CVE-2022-32894 tidak berlaku untuk iOS 12, Apple tidak pernah membuat pernyataan apa pun tentang apakah macOS Big Sur atau macOS Catalina (atau bahkan watchOS atau tvOS) terpengaruh oleh kernel yang dieksploitasi secara aktif yang sama. kerentanan. Apple hanya menambal kerentanan khusus itu untuk macOS Monterey, iOS 15, dan iPadOS 15, tetapi tidak untuk sistem operasi lain yang didukung perusahaan. Apple masih belum menjawab pertanyaan kami tentang apakah sistem operasi tersebut rentan.

Takeaways kunci

Pada saat ini, iOS 12 tidak terlalu aman untuk digunakan lagi, mengingat bahwa itu hanya menerima pembaruan keamanan yang dipilih, khususnya untuk kerentanan yang diketahui telah dieksploitasi secara aktif. Mungkin ini adalah pembaruan keamanan terakhir untuk iOS 12; hanya waktu yang akan memberitahu. Bila memungkinkan, paling aman untuk selalu menggunakan versi terbaru dari sistem operasi Apple mana pun.

Mengingat rilis iOS 16 dan iPadOS 16 yang akan datang, penting untuk memastikan bahwa iPhone atau iPad Anda kompatibel dengan sistem operasi baru. Jika tidak, akan lebih bijaksana untuk segera meng-upgrade. Apple diperkirakan akan mengumumkan model iPhone baru Rabu depan, 7 September, di acara media “Far out”. Kami mempratinjau acara tersebut di episode 254 dan 255 dari Intego Mac Podcast, dan kami akan membahas acara tersebut minggu depan di episode 256; ikuti podcast untuk memastikan Anda tidak melewatkannya.

Setiap kali pembaruan Apple mengatasi masalah keamanan yang “dieksploitasi secara aktif”, penting untuk menginstal pembaruan sesegera mungkin. Dengan demikian, Anda pasti harus memprioritaskan menginstal pembaruan iOS minggu ini jika Anda masih memiliki perangkat lama yang menjalankan iOS 12.

Kapan pun Anda bersiap untuk memperbarui iOS, iPadOS, atau macOS, selalu cadangkan data Anda sebelum menginstal pembaruan apa pun. Ini memberi Anda titik pemulihan jika sesuatu tidak berjalan sesuai rencana.

Lihat juga artikel terkait kami tentang pendekatan terbaik untuk mencadangkan iPhone atau iPad Anda:

Haruskah Anda Mencadangkan Perangkat iOS Anda ke iCloud atau Mac Anda?

Bagaimana saya bisa belajar lebih banyak?

Setiap minggu pada Podcast Intego MacPakar keamanan Mac Intego membahas berita terbaru Apple, kisah keamanan dan privasi, dan menawarkan saran praktis untuk mengoptimalkan perangkat Apple Anda.

Minggu depan, Kirk dan Josh akan membahas lebih lanjut tentang pembaruan Apple terbaru di episode 256. Pastikan untuk ikuti podcastnya untuk memastikan Anda tidak melewatkan episode apa pun!

Anda juga dapat berlangganan kami buletin email dan pantau terus disini Blog Keamanan Mac untuk berita keamanan dan privasi Apple terbaru. Dan jangan lupa untuk mengikuti Intego di saluran media sosial favorit Anda: Ikuti Intego di Twitter Ikuti Intego di Facebook Ikuti Intego di YouTube Ikuti Intego di Pinterest Ikuti Intego di LinkedIn Ikuti Intego di Instagram Ikuti Intego Mac Podcast di Apple Podcast

Tentang Joshua Long

Joshua Long (@theJoshMeister), Kepala Analis Keamanan Intego, adalah peneliti keamanan, penulis, dan pembicara publik yang terkenal. Josh memiliki gelar master di bidang TI yang berkonsentrasi pada Keamanan Internet dan telah mengambil kursus tingkat doktor dalam Keamanan Informasi. Apple telah secara terbuka mengakui Josh karena menemukan kerentanan otentikasi ID Apple. Josh telah melakukan penelitian keamanan siber selama lebih dari 20 tahun, yang sering ditampilkan oleh outlet berita utama di seluruh dunia. Cari lebih banyak artikel Josh di security.thejoshmeister.com dan ikuti dia di Twitter. Lihat semua posting oleh Joshua Long →

Catatan ini telah diposting di Apple dan menandai iOS 12, Pembaruan Keamanan. Tandai tautan permanen.

Leave a Reply

Your email address will not be published. Required fields are marked *