Perangkat Lunak & Aplikasi
Diposting pada 15 Februari 2023 oleh Joshua Long
Pada hari Senin, Apple merilis pembaruan keamanan untuk sistem operasinya, terutama untuk mengatasi kerentanan yang “dieksploitasi secara aktif” (yaitu zero-day, in-the-wild). Pembaruan ini mencakup macOS Ventura 13.2.1, iOS dan iPadOS 16.3.1, dan lainnya.
Dalam artikel ini, kita akan memeriksa apa yang kita ketahui tentang kerentanan yang dimitigasi oleh Apple, dan mengapa penting untuk memperbarui dengan cepat.
Dalam artikel ini:
Apple menangani kerentanan zero-day
Pertama mari kita lihat kerentanan zero-day yang ditangani Apple untuk beberapa sistem operasi. Apple mengatakan tentang pembaruan:
WebKit
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Apple mengetahui laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah kebingungan jenis telah diatasi dengan pemeriksaan yang ditingkatkan.
Bugzilla WebKit: 251944
CVE-2023-23529: peneliti anonim
Kerentanan dimitigasi di macOS Ventura 13.2.1, iOS 16.3.1, iPadOS 16.3.1, dan Safari 16.3.1 untuk macOS Monterey dan macOS Big Sur.
Khususnya, Apple belum merilis tambalan yang sesuai untuk iOS 15 atau iPadOS 15. Ini penting, karena banyak orang masih menggunakan iPhone dan iPad yang tidak dapat ditingkatkan ke iOS 16 atau iPadOS 16. Selain itu, iPod touch (generasi ke-7), yang baru saja dihentikan pada Mei 2022 sebelum iOS 16 diumumkan pada bulan Juni, juga tidak dapat ditingkatkan ke iOS 16.
Meskipun Apple juga menambal kerentanan di tvOS 16 dan watchOS 9 minggu ini, Apple belum merilis detail tentang apa yang ditambal dalam pembaruan tersebut, jadi belum jelas apakah sistem operasi tersebut terpengaruh atau menerima tambalan untuk kerentanan WebKit ini.
Sedikit informasi yang tersedia untuk umum tentang kerentanan tersebut. Masalah Bugzilla WebKit hanya memungkinkan pengguna “berwenang” untuk mengaksesnya dan melihat detailnya. Sejauh ini, MITER dan NIST belum mempublikasikan detail apapun tentang CVE. Mengingat bahwa kerentanan dilaporkan secara anonim, dan Apple mengakui The Citizen Lab dalam perincian pembaruan iOS-nya, ada beberapa spekulasi dalam komunitas keamanan bahwa kerentanan ini mungkin telah digunakan oleh Pegasus atau spyware komersial lainnya yang sering digunakan oleh pemerintah dan lembaga penegak hukum. . Namun, kemungkinan koneksi ini belum dikonfirmasi.
Intego telah menghubungi Apple untuk menanyakan apakah kerentanan tersebut memengaruhi tvOS, watchOS, atau versi iOS dan iPadOS sebelumnya. Berdasarkan rekam jejak Apple, kami memperkirakan Apple tidak akan menanggapi pertanyaan kami (atau jurnalis mana pun) tentang masalah ini.
Sebelum minggu ini, kerentanan “yang dieksploitasi secara aktif” terbaru yang ditambal Apple adalah masalah WebKit yang terdengar serupa, juga terkait dengan pemrosesan “konten web yang dibuat dengan jahat”. Apple menambal kerentanan itu, CVE-2022-42856, pada 13 Desember 2022 untuk macOS Ventura, Monterey, dan Big Sur, untuk iOS dan iPadOS 16 dan 15, dan untuk tvOS 16. Khususnya, tambalan tersebut tidak termasuk yang terdaftar di watchOS catatan rilis keamanan 9.2; Apple tidak pernah mengonfirmasi ke Intego apakah kerentanan tersebut memengaruhi watchOS. Apple kemudian menambal kerentanan yang sama untuk iOS 12 pada 23 Januari 2023.
macOS Ventura 13.2.1
Tersedia untuk:
Semua Mac yang didukung saat ini menjalankan macOS Ventura
Pembaruan keamanan:
Setidaknya tiga kerentanan telah diatasi dalam pembaruan ini. halaman Apple dengan Detail keamanan macOS Ventura 13.2.1 saat ini menyebutkan kerentanan WebKit yang dirinci di atas, dan dua lainnya:
Inti
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2023-23514: Xinru Chi dari Pangu Lab, Ned Williamson dari Google Project ZeroPintasan
Dampak: Aplikasi mungkin dapat mengamati data pengguna yang tidak dilindungi
Deskripsi: Masalah privasi telah diatasi dengan penanganan file sementara yang lebih baik.
CVE-2023-23522: Wenchao Li dan Xiaolong Bai dari Alibaba Group
Anda bisa mendapatkan pembaruan ini dengan pergi ke Preferensi Sistem > Pembaruan perangkat lunak, di mana Mac kompatibel yang menjalankan macOS Mojave atau yang lebih baru akan melihat pembaruan Monterey muncul. Jika Mac Anda menjalankan macOS High Sierra atau lebih lama, cari macOS Ventura di App Store dan unduh dari sana.
Safari 16.3.1
Tersedia untuk:
macOS Monterey dan macOS Big Sur
Sampai hari ini, Apple hanya menyebutkan satu masalah WebKit yang disebutkan di atas daftar perbaikan untuk Safari 16.3.1.
Khususnya, Apple secara keliru merilis ulang tambalan ini sebagai Safari 16.3 di Pembaruan Perangkat Lunak. Jika Anda menjalankan macOS Monterey atau Big Sur, Anda dapat mengonfirmasi apakah Anda memiliki versi terbaru dengan membuka Safari, mengeklik Safari menu di sebelah menu Apple, lalu mengklik Tentang Safari. Setelah menginstal tambalan ini, versi akan dicantumkan sebagai “Versi 16.3 (177614.4.6.11.6)” jika Mac Anda menjalankan Monterey, atau “Versi 16.3 (167614.4.6.11.6)” jika Mac Anda menjalankan Big Sur.
Pembaruan tersedia di Preferensi Sistem > Pembaruan perangkat lunak di Mac Anda.
iOS 16.3.1 dan iPadOS 16.3.1
Tersedia untuk:
iPhone 8 dan lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan lebih baru, iPad generasi ke-5 dan lebih baru, dan iPad mini generasi ke-5 dan lebih baru
Pembaruan keamanan:
Setidaknya dua kerentanan telah diatasi dalam pembaruan ini: kerentanan WebKit dan Kernel yang tercantum di atas. Apple juga mengakui “Lab Warga di Sekolah Munk Universitas Toronto atas bantuan mereka” dengan masalah keamanan yang tidak ditentukan.
Daftar lengkap masalah keamanan yang ditangani dapat ditemukan Di Sini. Untuk mendapatkan pembaruan melalui udara, buka Pengaturan > Umum > Pembaruan perangkat lunak di perangkat Anda.
iOS 15 dan iPadOS 15 — belum ada pembaruan keamanan
Dalam beberapa tahun terakhir, Apple telah merilis tambalan untuk kerentanan yang “dieksploitasi secara aktif” untuk versi iOS sebelumnya, khususnya untuk perangkat keras yang tidak dapat mendukung sistem operasi saat ini. Namun, Apple terkadang menunggu berhari-hari, berminggu-minggu, atau bahkan berbulan-bulan sebelum menambal versi OS sebelumnya.
Sejauh ini, Apple belum merilis tambalan yang sesuai untuk iOS 15 atau iPadOS 15 untuk mengatasi kerentanan WebKit yang dieksploitasi secara aktif. Mereka yang masih menggunakan perangkat itu tidak dapat ditingkatkan ke iOS 16 atau iPadOS 16, termasuk iPod touch (generasi ke-7), mungkin tetap rentan untuk saat ini. Intego telah menghubungi Apple untuk mengonfirmasi apakah kerentanan WebKit memengaruhi versi iOS dan iPadOS sebelumnya, dan kapan kami dapat mengharapkan tambalan.
watchOS 9.3.1
Tersedia untuk:
Apple Watch Seri 4 dan lebih baru
Pembaruan keamanan:
Apple merilis watchOS 9.3.1 pada hari Senin, tetapi sejauh ini perusahaan belum merilis detail apa pun tentang kerentanan keamanan yang ditanganinya. Untuk saat ini, Halaman pembaruan keamanan Apple hanya mengatakan, “detail segera tersedia.”
Untuk menginstal pembaruan ini, pastikan iPhone Anda telah diperbarui terlebih dahulu, ponsel dan jam tangan Anda terhubung ke jaringan Wi-Fi yang sama, dan setidaknya daya jam tangan terisi 50%. Kemudian buka aplikasi Tonton di ponsel Anda dan ketuk Umum > Pembaruan perangkat lunak.
watchOS 8 — masih belum ada pembaruan keamanan
Sementara itu, masih belum ada kabar kapan (atau jika) Apple Watch Series 3—yang Apple masih jual rekondisi—akan mendapatkan pembaruan keamanan watchOS 8. Apple, untuk alasan yang tidak diketahui, telah memilih untuk tidak merilis watchOS 9 untuk model ini, menempatkan perangkat dalam keadaan limbo yang canggung.
Pembaruan keamanan terbaru untuk watchOS 8 adalah pada pertengahan Agustus 2022, sekitar sebulan sebelum watchOS 9 keluar. Itu berarti sudah enam bulan sejak Apple Watch Series 3 mendapatkan pembaruan keamanan apa pun.
Seperti yang telah kami sebutkan sebelumnya, pembaruan simultan untuk versi watchOS belum pernah terjadi sebelumnya. Baru-baru ini pada akhir tahun 2020, Apple merilis pembaruan simultan untuk dua atau tiga versi watchOS sekaligus, terutama untuk mendukung model Apple Watch yang lebih lama.
Sulit untuk memahami bagaimana Apple dapat membenarkan perilaku yang tampaknya lalai terkait produk apa pun yang masih dijualnya.
Intego telah meminta Apple beberapa kali sejak Oktober untuk pembaruan terkait keamanan watchOS 8 untuk Apple Watch Series 3, tetapi Apple lalai menanggapi pertanyaan kami.
tvOS 16.3.2
Tersedia untuk:
Apple TV 4K (semua generasi), dan Apple TV HD (alias generasi ke-4)
Perbaikan dan pembaruan terkait keamanan:
Apple merilis tvOS 16.3.2 pada hari Senin, tetapi sejauh ini perusahaan belum merilis detail apa pun tentang kerentanan keamanan yang ditanganinya. Untuk saat ini, Halaman pembaruan keamanan Apple hanya mengatakan, “detail segera tersedia.”
Pembaruan ini datang hanya seminggu setelah tvOS 16.3.1, di mana Apple belum menerbitkan detail keamanan apa pun. Apple mengatakan bahwa tvOS 16.3.1 “tidak memiliki entri CVE yang dipublikasikan”, meskipun ini tidak berarti bahwa tidak ada masalah keamanan yang ditangani.
Pembaruan tvOS dapat diunduh langsung dari Apple TV dengan masuk ke Pengaturan > Sistem > Perbarui Perangkat Lunak.
Pengambilan kunci
Jika Anda tidak mendapatkan apa-apa lagi dari artikel ini, berikut adalah beberapa poin penting:
- Apple merilis banyak pembaruan minggu ini, termasuk mitigasi untuk kerentanan yang telah dieksploitasi secara aktif di alam liar; periksa dan instal pembaruan di semua perangkat Apple Anda!
- Pada saat ini, macOS Ventura, iOS 16, dan iPadOS 16 adalah satu-satunya sistem operasi yang aman untuk digunakan masing-masing di Mac, iPhone, dan iPad.
- Jika Anda memiliki Mac yang Apple tidak secara resmi mendukung Ventura, Anda mungkin dapat memutakhirkannya.
- Jika Anda memiliki iPhone atau iPad lama yang tidak kompatibel dengan 16.x, atau iPod touch apa pun, membeli perangkat baru adalah opsi teraman.
- Jangan beli Apple Watch Series 3. Apple belum menyediakan pembaruan keamanan untuknya selama enam bulan, meskipun perusahaan terus menjualnya.
Dianjurkan untuk memperbarui ke sistem operasi terbaru sesegera mungkin. Penting untuk mendapatkan manfaat dari perbaikan keamanan baru secepat mungkin untuk membantu Anda tetap terlindungi.
Jika Anda memiliki Mac yang menjalankan macOS Monterey atau Big Sur yang kompatibel dengan Ventura, Anda mungkin ingin memperbarui ke versi Monterey atau Big Sur yang baru, lalu sesegera mungkin, tingkatkan ke macOS Ventura. Inilah alasannya. Secara umum, yang terbaik adalah memperbarui ke versi OS Apple terbaru dengan cepat untuk alasan keamanan. Untuk keamanan maksimum, seseorang tidak dapat mengandalkan tambalan keamanan minimal apa pun yang mungkin dirilis Apple untuk versi OS sebelumnya.
Kebijakan Patching Apple yang Buruk Berpotensi Membuat Keamanan dan Privasi Pengguna Genting
Kapan pun Anda bersiap untuk memperbarui iOS, iPadOS, atau macOS, selalu cadangkan data Anda sebelum menginstal pembaruan apa pun. Ini memberi Anda titik pemulihan jika sesuatu tidak berjalan sesuai rencana.
Lihat juga artikel terkait kami tentang memeriksa cadangan macOS Anda:
Bagaimana saya bisa belajar lebih banyak?
Setiap minggu di Podcast Intego Mac, Pakar keamanan Mac Intego membahas berita Apple terbaru, termasuk kisah keamanan dan privasi, dan menawarkan saran praktis untuk memaksimalkan perangkat Apple Anda. Pastikan untuk ikuti podcastnya untuk memastikan Anda tidak melewatkan episode apa pun.
Anda juga dapat berlangganan kami buletin email dan awasi di sini Blog Keamanan Mac untuk berita keamanan dan privasi Apple terbaru. Dan jangan lupa untuk mengikuti Intego di saluran media sosial favorit Anda:
Tentang Joshua Long
Joshua Long (@theJoshMeister), Kepala Analis Keamanan Intego, adalah peneliti keamanan, penulis, dan pembicara publik terkenal. Josh memiliki gelar master di bidang TI yang berkonsentrasi pada Keamanan Internet dan telah mengambil kursus tingkat doktor dalam Keamanan Informasi. Apple secara terbuka mengakui Josh karena menemukan kerentanan otentikasi ID Apple. Josh telah melakukan penelitian keamanan siber selama lebih dari 20 tahun, yang sering ditampilkan oleh outlet berita besar di seluruh dunia. Cari lebih banyak artikel Josh di security.thejoshmeister.com dan ikuti dia Twitter. Lihat semua posting oleh Joshua Long →