Sudah saatnya untuk memeriksa pembaruan perangkat lunak Anda. Maret telah melihat rilis patch penting untuk Apple iOS, Google Chrome, dan pesaingnya yang peduli privasi, Firefox. Bugs juga telah diatasi oleh raksasa perangkat lunak enterprise termasuk Cisco, VMware, dan SAP.
Berikut yang perlu Anda ketahui tentang pembaruan keamanan yang dikeluarkan pada bulan Maret.
Apple iOS
Apple mengganti bulan Februari yang sepi dengan merilis dua patch terpisah pada bulan Maret. Di awal bulan, pembuat iPhone merilis iOS 17.4, memperbaiki lebih dari 40 kerentanan termasuk dua masalah yang sudah digunakan dalam serangan dunia nyata.
Dilacak sebagai CVE-2024-23225, bug pertama dalam Kernel iPhone bisa memungkinkan penyerang melewati perlindungan memori. “Apple menyadari laporan bahwa masalah ini mungkin telah dieksploitasi,” demikian yang dikatakan pembuat iPhone tersebut di halaman dukungan mereka.
Dilacak sebagai CVE-2024-23296, kerentanan kedua, di RTKit, sistem operasi waktu nyata yang digunakan dalam perangkat termasuk AirPods, juga bisa memungkinkan penyerang melewati perlindungan memori Kernel.
Kemudian pada Maret, Apple merilis pembaruan perangkat lunak kedua, iOS 17.4.1, kali ini memperbaiki dua kerentanan dalam perangkat lunak iPhone-nya, keduanya dilacak sebagai CVE-2024-1580. Dengan menggunakan masalah yang diperbaiki dalam iOS 17.4.1, seorang penyerang bisa menjalankan kode jika mereka berhasil meyakinkan seseorang untuk berinteraksi dengan gambar.
Tidak lama setelah merilis iOS 17.4.1, Apple merilis patch untuk perangkat lainnya untuk memperbaiki bug yang sama: Safari 17.4.1, macOS Sonoma 14.4.1, dan macOS Ventura 13.6.6.
Google Chrome
Maret adalah bulan yang sibuk bagi Google, yang memperbaiki sejumlah kerentanan dalam browser Chrome-nya. Di pertengahan bulan, Google merilis 12 patch, termasuk perbaikan untuk CVE-2024-2625, masalah siklus hidup objek dalam V8 dengan peringkat tinggi.
Masalah berperingkat sedang termasuk CVE-2024-2626, bug pembacaan out-of-bounds dalam Swiftshader; CVE-2024-2627, kerentanan penggunaan setelah bebas dalam Canvas; dan CVE-2024-2628, masalah implementasi yang tidak pantas dalam Downloads.
Pada akhir bulan, Google merilis tujuh pembaruan keamanan, termasuk patch untuk kerentanan kritis penggunaan setelah bebas dalam ANGLE yang dilacak sebagai CVE-2024-2883. Dua bug penggunaan setelah bebas lebih lanjut, dilacak sebagai CVE-2024-2885 dan CVE-2024-2886, diberi peringkat tinggi. Sementara itu, CVE-2024-2887 adalah kerentanan kebingungan jenis dalam WebAssembly.
Dua isu terakhir dieksploitasi dalam kontes peretasan Pwn2Own 2024, jadi Anda harus segera memperbarui browser Chrome Anda.
Mozilla Firefox
Firefox milik Mozilla mengalami bulan Maret yang sibuk, setelah memperbaiki dua kerentanan zero-day yang dieksploitasi di Pwn2Own. CVE-2024-29943 adalah masalah akses out-of-bounds yang bisa dilewati, sementara CVE-2024-29944 adalah kerentanan eksekusi JavaScript yang didahulukan dalam Event Handlers yang bisa menyebabkan pelarian sandbox. Kedua masalah tersebut dinilai memiliki dampak kritis.
Sebelumnya dalam bulan tersebut, Mozilla merilis Firefox 124 untuk mengatasi 12 masalah keamanan, termasuk CVE-2024-2605, kerentanan pelarian sandbox yang mempengaruhi sistem operasi Windows. Seorang penyerang bisa memanfaatkan Windows Error Reporter untuk menjalankan kode sewenang-wenang pada sistem, melarikan diri dari sandbox, demikian yang dikatakan Mozilla.
CVE-2024-2615 melihat bug keamanan memori berperingkat kritis diperbaiki dalam Firefox 124. “Beberapa bug ini menunjukkan bukti korupsi memori, dan kami berasumsi bahwa dengan usaha yang cukup [mereka] bisa dieksploitasi untuk menjalankan kode sewenang-wenang,” kata Mozilla.
Google Android
Google telah merilis Bulletin Keamanan Android Maret, memperbaiki hampir 40 isu dalam sistem operasi seluler mereka, termasuk dua bug kritis dalam komponen sistem mereka. CVE-2024-0039 adalah kerentanan pelaksanaan kode jarak jauh, sementara CVE-2024-23717 adalah kerentanan kenaikan-privilege.
“Isu paling parah dari masalah ini adalah kerentanan keamanan kritis dalam komponen Sistem yang bisa menyebabkan pelaksanaan kode jarak jauh tanpa perlu hak akses eksekusi tambahan,” kata Google dalam penjelasannya.