iOS 16.1 dan iPadOS 16 berisi perbaikan untuk eksploitasi zero-day yang sudah terlihat di alam liar

PSA: Apple memiliki rata-rata dua kali lipat satu hari nol per bulan sejak Januari. Versi terbaru datang dengan iOS 16, yang mungkin telah dieksploitasi secara aktif oleh peretas selama sebulan terakhir. Apple merilis iOS dan iPadOS versi 16.1 dan 16 awal pekan ini. Pengguna dengan perangkat yang kompatibel harus segera memperbaruinya.

Pada hari Senin, Apple merilis patch untuk iOS 16 dan iPadOS 16 untuk memperbaiki kerentanan keamanan yang serius. Kelemahan keamanan memungkinkan penyerang untuk mengeksekusi kode dengan hak istimewa di tingkat kernel. Perangkap bug yang tidak diketahui dilaporkan ke Apple pada 11 Oktober. Cupertino mengakui bahwa aktor jahat mungkin telah mengeksploitasi kelemahan zero-day ini.

Kerentanan (CVE-2022-42827) dapat memungkinkan aplikasi melakukan penulisan di luar batas. Ini terjadi ketika program mencoba memasukkan data sebelum atau sesudah buffer yang dimaksud. Jika penulisan tidak dicentang, ini akan menyebabkan kerusakan memori yang dapat menyebabkan sistem operasi macet atau terbuka untuk mengeksekusi kode arbitrer.

Misalnya, jika larik memori didefinisikan dalam sistem operasi sebagai berisi tiga elemen, upaya untuk menulis ke elemen keempat menghasilkan kesalahan di luar batas. Jika algoritme tidak diprogram untuk menangani pengecualian ini, peretas dapat dengan sengaja menghasilkan kesalahan dan mengeksploitasinya untuk mengeksekusi kode arbitrer di area sensitif sistem operasi, seperti kernel (contoh di bawah).

Contoh yang diberikan oleh komunitas CWE

Catatan tambalan untuk iOS 16.1 dan iPadOS 16 menunjukkan bahwa pembaruan memperbaiki bug dengan “pemeriksaan batas yang ditingkatkan.” Perangkat yang terpengaruh termasuk iPhone 8 dan versi lebih baru, semua model iPad Pro, iPad Air generasi ke-3 dan versi lebih baru, serta iPad dan iPad mini generasi ke-5 dan versi lebih baru. Apple mendesak pengguna untuk memperbarui sesegera mungkin.

Kerentanan zero-day tidak jarang terjadi. Menurut definisi, mereka adalah kelemahan keamanan yang dirilis ke publik sebelum vendor perangkat lunak memiliki kesempatan untuk menemukan dan memperbaikinya sendiri atau dengan bantuan peneliti pihak ketiga dan pemburu hadiah bug. Ini adalah kedelapan Apple tahun ini, menurut peneliti Google. Google telah menetapkan tujuh hari nol, dan Microsoft memiliki lima hari sejak Januari.

Patch darurat berisi 19 perbaikan keamanan lainnya, termasuk dua lubang tingkat kernel yang memungkinkan eksekusi kode. Keduanya ditemukan oleh peneliti dan dilaporkan ke Apple sebelum bisa dieksploitasi.