apel
Diposting pada 18 Agustus 2022 oleh Joshua Long
Pada hari Rabu minggu ini, Apple merilis pembaruan untuk versi macOS, iOS, dan iPadOS saat ini untuk memperbaiki dua kerentanan yang “dieksploitasi secara aktif” (yaitu di alam liar, nol hari). Mari kita lihat apa yang ditawarkan pembaruan ini, serta apa yang Apple mungkin telah melewatkan pembaruan.
macOS Monterey 12.5.1
Pembaruan sistem operasi Mac terbaru Apple tersedia untuk semua Mac yang didukung yang saat ini menjalankan macOS Monterey. Menurut catatan rilis pembaruan macOS Monterey Apple, macOS Monterey 12.5.1 “disarankan untuk semua pengguna dan meningkatkan keamanan macOS.”
Hanya dua tambalan terkait keamanan yang diketahui disertakan dalam pembaruan ini, tetapi keduanya cukup serius dan membutuhkan penambalan segera:
Inti
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.*
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-32894: seorang peneliti anonimWebKit
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.*
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
WebKit Bugzilla: 243557
CVE-2022-32893: seorang peneliti anonim*penekanan ditambahkan
Itu semua detail yang telah diterbitkan Apple mengenai konten keamanan macOS Monterey 12.5.1.
Anda bisa mendapatkan pembaruan ini dengan membuka Preferensi Sistem > Pembaruan perangkat lunak, di mana Mac yang kompatibel yang menjalankan macOS Mojave atau yang lebih baru akan melihat pembaruan Monterey muncul. Jika Mac Anda menjalankan High Sierra atau lebih lama, cari macOS Monterey di App Store dan unduh dari sana.
MacOS Big Sur dan macOS Catalina mana yang diperbarui?
Khususnya, Apple tidak merilis pembaruan apa pun untuk macOS Big Sur atau macOS Catalina, dua versi macOS sebelumnya. Apple biasanya merilis beberapa, tetapi tidak semua, pembaruan keamanan untuk “n dikurangi 1″ dan “n minus 2″ versi macOS utama.
Bahkan kerentanan yang dieksploitasi secara aktif yang memengaruhi versi macOS yang lebih lama tidak selalu ditambal untuk versi macOS yang lebih lama tersebut. (Untuk detail lebih lanjut, lihat artikel kami, “Kebijakan Penambalan Apple yang Buruk Berpotensi Membuat Keamanan dan Privasi Pengguna Menjadi Genting.”)
Kembali pada bulan April tahun ini, Apple merilis macOS Monterey 12.3.1, yang juga menangani dua kerentanan yang dieksploitasi secara aktif (yaitu di alam liar, zero-day). Apple menunggu hingga 6,5 minggu kemudian—dan setelah tekanan publik yang signifikan akibat artikel Intego yang viral—sebelum akhirnya merilis patch untuk macOS Big Sur dan macOS Catalina.
Apple Mengabaikan untuk Menambal Dua Kerentanan Zero-Day, Liar untuk macOS Big Sur, Catalina
Saat ini, belum diketahui apakah salah satu atau kedua kerentanan di alam liar yang ditangani Apple di macOS Monterey 12.5.1 juga dapat dieksploitasi di Big Sur atau Catalina. Mengingat bahwa kedua kerentanan dilaporkan secara anonim, dan Apple belum memberikan banyak detail tentang mereka, kita mungkin tidak akan pernah tahu. Namun, kami akhirnya dapat mengetahui apakah seorang peneliti keamanan merekayasa balik patch Monterey baru, atau jika Apple memutuskan untuk merilis patch yang sesuai untuk versi macOS yang lebih lama di kemudian hari.
Ini adalah pertanyaan yang tepat. Sayangnya, @Apel tidak mengatakan satu atau lain cara. Dan peneliti yang melaporkan 2 kerentanan bersifat anonim (seperti yang sering terjadi pada vuln yang dieksploitasi secara aktif). Jadi, satu-satunya cara untuk mengetahuinya adalah jika seseorang merekayasa balik patch tersebut.
— Josh Long (JoshMeister) (@theJoshMeister) 17 Agustus 2022
Pada hari Rabu, Intego menghubungi Apple untuk menanyakan apakah Big Sur atau Catalina terpengaruh oleh salah satu dari kerentanan yang dieksploitasi secara aktif. (Intego mengetahui setidaknya satu reporter lain, dari Ars Technica, yang juga telah menanyakan Apple dan sedang menunggu tanggapan.) Artikel ini akan diperbarui jika Apple merespons, atau jika Apple merilis patch yang sesuai untuk salah satu atau kedua versi yang lebih lama. versi macOS.
iOS 15.6.1 dan iPadOS 15.6.1
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Pro (semua model), iPad Air 2 dan versi lebih baru, iPad generasi ke-5 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch (generasi ke-7)
Menurut catatan rilis pembaruan iOS 15 Apple, iOS 15.6.1 “menyediakan pembaruan keamanan penting dan direkomendasikan untuk semua pengguna.”
Dua masalah keamanan yang sama yang ditambal di macOS Monterey 12.5.1 juga ditambal di iOS dan iPadOS 15.6.1. Detail kerentanan di atas identik dengan apa yang dikatakan Apple mengenai konten keamanan iOS 15.6.1 dan iPadOS 15.6.1.
Sayangnya, mungkin diperlukan waktu selama 1-4 minggu untuk meluncurkan versi iOS atau iPadOS baru ke pelanggan (seperti yang dibahas di episode 233 dari Podcast Intego Mac). Pengguna yang mengetahui pembaruan lebih cepat melalui Apple pihak ketiga atau sumber berita keamanan, seperti Intego Blog Keamanan Macdapat memeriksa pembaruan baru secara manual saat dirilis.
Mengingat bahwa Tampilan Studio baru Apple menjalankan versi lengkap iOS 15 (saat ini 15.5), ada kemungkinan bahwa pembaruan yang sesuai mungkin tersedia untuk tampilan juga, di beberapa titik. Mengingat betapa baru tampilannya, sedikit data historis yang tersedia untuk menunjukkan seberapa sering Apple berencana untuk memberikan pembaruan iOS ke Studio Displays (walaupun Apple tampaknya telah melewatkan iOS 15.6, yang dirilis pada 20 Juli).
Untuk menginstal pembaruan iOS atau iPadOS terbaru, periksa app Pengaturan di perangkat Anda: Pengaturan > Umum > Pembaruan perangkat lunak. Prosesnya sama terlepas dari apakah Anda menggunakan iPhone, iPad, atau iPod touch.
watchOS 8.7.1
Tersedia untuk: Apple Watch Series 3
Anehnya, Apple juga merilis pembaruan watchOS 8.7.1 baru, tetapi tampaknya tersedia secara eksklusif untuk Apple Watch Series 3—jam tangan tertua yang masih dijual Apple. Apple mengatakan bahwa pembaruan “tidak memiliki entri CVE yang diterbitkan” (yaitu tidak ada kerentanan yang didokumentasikan secara resmi) pada saat penulisan. Belum ada detail mengenai watchOS 8.7.1 yang dipublikasikan di halaman catatan rilis pembaruan watchOS 8 Apple, jadi tidak jelas mengapa hanya Apple Watch Series 3 yang menerima pembaruan.
Intego telah menanyakan Apple apakah watchOS 8.7.1 berisi perbaikan keamanan non-CVE. Kami juga bertanya kepada Apple apakah watchOS terpengaruh oleh kerentanan yang baru saja ditambal untuk macOS, iOS, dan iPadOS, dan jika demikian, apakah tambalan akan datang. Artikel ini akan diperbarui jika Apple merespons.
Untuk menginstal pembaruan ini di Apple Watch Series 3 Anda, pastikan iPhone Anda sudah diperbarui terlebih dahulu, ponsel dan jam tangan Anda terhubung ke jaringan Wi-Fi yang sama, dan jam tangan memiliki daya setidaknya 50%. Kemudian buka aplikasi Tonton di ponsel Anda dan ketuk Umum > Pembaruan perangkat lunak.
Bagaimana dengan tvOS dan audioOS?
Apple tampaknya belum merilis pembaruan untuk tvOS (untuk Apple TV) atau audioOS (untuk HomePod) sejauh minggu ini.
Tidak diketahui apakah tvOS mengandung salah satu kerentanan yang sama yang ditambal untuk macOS, iOS, dan iPadOS minggu ini, dan jika demikian, apakah tambalan akan datang. Intego telah menanyakan Apple, dan artikel ini akan diperbarui jika Apple merespons.
Apple tidak pernah secara terbuka merilis detail keamanan apa pun terkait pembaruan HomePod, dan hanya sedikit informasi yang tersedia untuk publik terkait audioOS.
Takeaways kunci
Setiap kali pembaruan Apple mengatasi masalah keamanan yang “dieksploitasi secara aktif”, penting untuk menginstal pembaruan sesegera mungkin. Dengan demikian, Anda harus memprioritaskan menginstal pembaruan macOS Monterey, iOS, dan iPadOS minggu ini. Pembaruan watchOS minggu ini khusus untuk Apple Watch Series 3 mungkin tidak terlalu mendesak.
Kapan pun Anda bersiap untuk memperbarui iOS, iPadOS, atau macOS, selalu cadangkan data Anda sebelum menginstal pembaruan apa pun. Ini memberi Anda titik pemulihan jika sesuatu tidak berjalan sesuai rencana.
Lihat juga artikel terkait kami tentang memastikan bahwa cadangan Mac Anda berfungsi, dan pendekatan terbaik untuk mencadangkan iPhone atau iPad Anda:
Cara Memverifikasi Cadangan Anda Bekerja dengan Benar
Haruskah Anda Mencadangkan Perangkat iOS Anda ke iCloud atau Mac Anda?
Bagaimana saya bisa belajar lebih banyak?
Setiap minggu pada Podcast Intego MacPakar keamanan Mac Intego membahas berita terbaru Apple, kisah keamanan dan privasi, dan menawarkan saran praktis untuk mengoptimalkan perangkat Apple Anda.
Minggu depan, Kirk dan Josh akan membahas lebih lanjut tentang pembaruan Apple terbaru di episode 254. Pastikan untuk ikuti podcastnya untuk memastikan Anda tidak melewatkan episode apa pun!
Anda juga dapat berlangganan kami buletin email dan pantau terus disini Blog Keamanan Mac untuk berita keamanan dan privasi Apple terbaru. Dan jangan lupa untuk mengikuti Intego di saluran media sosial favorit Anda: 
Tentang Joshua Long
Joshua Long (@theJoshMeister), Kepala Analis Keamanan Intego, adalah peneliti keamanan, penulis, dan pembicara publik yang terkenal. Josh memiliki gelar master di bidang TI yang berkonsentrasi pada Keamanan Internet dan telah mengambil kursus tingkat doktor dalam Keamanan Informasi. Apple telah secara terbuka mengakui Josh karena menemukan kerentanan otentikasi ID Apple. Josh telah melakukan penelitian keamanan siber selama lebih dari 20 tahun, yang sering ditampilkan oleh outlet berita utama di seluruh dunia. Cari lebih banyak artikel Josh di security.thejoshmeister.com dan ikuti dia di Twitter. Lihat semua posting oleh Joshua Long →