Desember adalah bulan yang sibuk bagi pembaruan, karena perusahaan-perusahaan seperti Apple dan Google bergegas untuk mengeluarkan patch guna memperbaiki kerentanan serius dalam produk mereka sebelum liburan.
Perusahaan-perusahaan pengembang perangkat lunak juga mengeluarkan sejumlah patch, dengan Atlassian dan SAP menyelesaikan beberapa bug kritis pada bulan Desember.
Berikut adalah hal-hal penting yang perlu Anda ketahui tentang pembaruan yang mungkin Anda lewatkan selama bulan tersebut.
Apple iOS
Pada pertengahan Desember, Apple merilis iOS 17.2, pembaruan poin utama yang berisi fitur-fitur seperti aplikasi Journal, serta 12 patch keamanan. Salah satu kerentanan yang diperbaiki dalam iOS 17.2 adalah CVE-2023-42890, masalah dalam mesin peramban WebKit yang dapat memungkinkan penyerang untuk menjalankan kode.
Kerentanan lainnya dalam Kernel iPhone, yang dilacak sebagai CVE-2023-4291, dapat membuat aplikasi keluar dari area aman-nya, demikian yang ditulis Apple di halaman dukungan mereka. Sementara itu, dua kerentanan dalam ImageIO, CVE-2023-42898 dan CVE-2023-42899, dapat menyebabkan eksekusi kode.
Pembaruan iOS 17.2 juga menempatkan mekanisme untuk mencegah serangan Bluetooth menggunakan perangkat pengujian penetrasi yang disebut Flipper Zero, menurut pengujian oleh ZDNET dan 9to5Mac. Serangan siber yang mengganggu layanan ini dapat menyebabkan munculnya beberapa pop-up di iPhone dan akhirnya mengunci perangkat tersebut.
Apple juga merilis iOS 16.7.3, Safari 17.2, macOS Sonoma 14.2, macOS Ventura 13.6.3, macOS Monterey 12.7.2, tvOS 17.2, dan watchOS 10.2.
Hanya satu minggu setelah merilis iOS 17.2, Apple mengeluarkan iOS 17.2.1 dan iOS 16.7.4 untuk perangkat yang lebih lama, bersamaan dengan macOS Sonoma 14.2.1. Pembaruan tak terduga iPhone ini berisi perbaikan bug dan keamanan yang tidak dijelaskan, sementara pembaruan macOS memperbaiki satu kerentanan yang dilacak sebagai CVE-2023-42940.
Google Android
Buletin Keamanan Desember dari Google Android adalah buletin yang cukup besar, dengan memperbaiki hampir 100 masalah keamanan. Pembaruan ini mencakup patch untuk dua masalah kritis dalam Framework, yang paling parah dapat menyebabkan eskalasi hak akses jarak jauh tanpa hak akses tambahan yang diperlukan. Menurut Google, interaksi pengguna tidak diperlukan untuk eksploitasi kerentanan ini.
CVE-2023-40088 adalah kerentanan kritis dalam System yang dapat menyebabkan eksekusi kode jarak jauh, sedangkan CVE-2023-40078 adalah bug eskalasi hak akses yang dinilai memiliki dampak tinggi.
Google juga telah mengeluarkan pembaruan untuk platform perangkat pintar WearOS-nya, memperbaiki CVE-2023-40094, yaitu kerentanan eskalasi hak akses. Bulletin Keamanan Pixel belum diposting saat artikel ini ditulis.
Google Chrome
Google mengakhiri Desember yang sibuk dengan pembaruan darurat untuk peramban Chrome-nya. Kerentanan zero-day kedelapan yang mempengaruhi Chrome pada tahun 2024, CVE-2023-7024, adalah masalah heap buffer overflow dalam komponen WebRTC sumber terbuka. Google “mengetahui bahwa eksploitasi untuk CVE-2023-7024 ada di alam liar,” kata pembuat peramban tersebut dalam sebuah pengumuman.
Ini bukan pembaruan pertama yang dirilis oleh Google pada bulan Desember. Perusahaan perangkat lunak tersebut juga mengeluarkan patch Chrome pertengahan bulan guna memperbaiki sembilan masalah keamanan. Dari kerentanan yang dilaporkan oleh peneliti eksternal, lima di antaranya dinilai memiliki tingkat keparahan tinggi, termasuk CVE-2023-6702, kerentanan kebingungan jenis dalam V8, dan empat bug use-after-free.