Elyse Betters Picaro / ZDNET
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
*
Poin penting ZDNET**
- Apple telah memperbaiki celah keamanan serius pada iPhone, iPad, dan Mac.
- Patch memperbaiki celah yang dapat memungkinkan penyerang memasang spyware.
- Celah tersebut telah dieksploitasi di luar terhadap individu yang ditargetkan.
***
Saya tahu Anda mungkin lelah terus-menerus memperbarui iPhone, iPad, atau Mac untuk memperbaiki satu dan lain masalah. Namun, ada pembaruan lain yang pasti ingin Anda instal. Dan semoga ini yang terakhir sebelum iOS 26 dan versi OS baru lainnya debut bulan depan.
Juga: Mengubah setelan iOS 18 ini secara signifikan meningkatkan daya tahan baterai iPhone saya
Rabu lalu, Apple merilis pembaruan untuk berbagai produk dan versi guna mengatasi masalah keamanan. Memengaruhi iPhone, iPad, dan Mac, pembaruan ini mencakup iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8, dan macOS Ventura 13.7.8.
Cara memperbarui perangkat Apple – dan alasannya
Jika Anda ingin langsung pada intinya dan cepat-cepat memperbarui perangkat, begini caranya. Di iPhone atau iPad, buka Pengaturan, pilih Umum, dan ketuk Pembaruan Perangkat Lunak. Di Mac, buka Pengaturan Sistem, pilih Umum, dan klik Pembaruan Perangkat Lunak. Di semua platform, izinkan pembaruan terbaru untuk mengunduh dan menginstal.
Jadi, apa yang dibawa oleh pembaruan kemarin, dan mengapa Anda harus menginstalnya sesegera mungkin? Mereka hanya memperbaiki satu celah, tetapi itu adalah celah yang serius.
Juga: Cara menghapus cache iPhone Anda (dan mengapa Anda harus melakukannya sebelum pembaruan iOS 26)
Pada halamannya untuk iOS/iPadOS 18.6.2 dan macOS 15.6.1, Apple menggambarkan kerentanannya sebagai salah satu yang memengaruhi framework ImageIO mereka dan bahwa "memproses file gambar berbahaya dapat mengakibatkan korupsi memori." Perusahaan menambahkan bahwa mereka mengetahui laporan bahwa celah ini mungkin telah dieksploitasi di luar dalam "serangan yang sangat canggih terhadap individu tertentu yang ditargetkan." Diidentifikasi sebagai "masalah penulisan di luar batas," masalah tersebut diperbaiki melalui "pemeriksaan batas yang ditingkatkan."
Serangan yang sangat canggih
Oke, mari kita uraikan untuk Anda yang menginginkan detail mendalam.
ImageIO adalah framework Apple yang memungkinkan aplikasi membaca dan menulis sebagian besar format file gambar. Ini membuat perangkat Anda tahu cara memproses dan menampilkan foto atau gambar lainnya. "Memproses file gambar berbahaya dapat mengakibatkan korupsi memori" berarti penyerang dapat mengeksploitasi celah dalam ImageIO dengan membuat gambar yang dirancang untuk merusak memori perangkat Anda.
"Masalah penulisan di luar batas" adalah celah sebenarnya dalam ImageIO, yang berarti penyerang dapat menulis data di luar memori yang dicadangkan untuk program tertentu. Dengan mengeksploitasi celah ini, mereka kemudian dapat menjalankan kode berbahaya dan bahkan memasang spyware. Memperbaiki masalah ini mengharuskan Apple menyiapkan "pemeriksaan batas yang ditingkatkan" untuk memastikan bahwa gambar berbahaya tidak dapat keluar dari memori yang ditugaskan untuknya.
Juga: 5 produk Apple yang pasti tidak boleh Anda beli bulan ini (dan 7 alternatifnya)
Bagian yang berbahaya di sini adalah bahwa penyerang dapat menargetkan seseorang melalui gambar yang terlihat tidak berbahaya. Ini berarti bahwa hanya dengan membuka gambar dapat mengakibatkan kompromi. Ditunjuk sebagai CVE-2025-43300, celah ini dijelaskan lebih lanjut di halaman CVE-nya.
Namun, deskripsi Apple tentang "serangan yang sangat canggih terhadap individu tertentu yang ditargetkan" menunjukkan bahwa sebagian besar pengguna kemungkinan tidak akan terdampak oleh masalah ini. Sebaliknya, kedengarannya seperti upaya lain oleh entitas spyware untuk menargetkan pejabat pemerintah, aktivis politik, jurnalis, dan individu berprofil tinggi lainnya.
Salah satu perusahaan yang terkenal, atau terkenal buruk, yang dikenal meluncurkan jenis kampanye ini adalah NSO Group. Melalui spyware Pegasus-nya, grup tersebut beberapa kali ketahuan mengeksploitasi celah pada komputer dan perangkat seluler untuk memantau aktivitas korban yang ditargetkan.
Perusahaan tersebut berargumen bahwa mereka menggunakan perangkat lunak Pegasus hanya untuk membantu badan penegak hukum yang sah memburu penjahat dan teroris. Tetapi Apple telah menggugat NSO Group dan dipaksa memperbaiki setiap celah yang dieksploitasi yang ditemukan di sistem operasinya.
"CVE-2025-43300 dapat memungkinkan penyerang memicu korupsi memori jika pengguna membuka file gambar berbahaya, berpotensi memungkinkan eksekusi kode berbahaya dan kompromi iPhone," kata Adam Boynton, manajer strategi keamanan senior perusahaan keamanan perangkat seluler Jamf, dalam email kepada ZDNET.
Juga: Sudah menginstal iOS 18.6 di iPhone Anda? Ubah 11 setelan ini untuk pengalaman terbaik
"Apple telah menunjukkan bahwa kerentanan ini telah dieksploitasi dalam serangan yang canggih dan ditargetkan, yang biasanya berfokus pada individu dengan akses atau kontak yang sangat bernilai, seperti jurnalis, pengacara, aktivis, dan pejabat pemerintah," tambah Boynton. "Meskipun Apple belum mengonfirmasi apakah celah spesifik ini terkait dengan spyware, kerentanan serupa di ImageIO dan WebKit sebelumnya telah digunakan dalam kampanye Pegasus."
Pembaruan terbaru ini datang hanya beberapa hari setelah rilis iOS 18.6.1 dan watchOS 11.6.1, yang membawa versi baru (dan semoga tidak melanggar paten) dari alat Pemantauan Oksigen Darah Apple.