Apple merilis tambalan untuk kerentanan di iOS, macOS, dan Safari.

Menurut The Hacker News , pembaruan terbaru Apple telah menambal dua kerentanan zero-day yang digunakan dalam kampanye pengawasan seluler Operation Triangulation sejak tahun 2019, meskipun tidak jelas organisasi mana yang berada di balik kampanye ini.

Apple menyatakan bahwa kedua kerentanan ini (CVE-2023-32434 dan CVE-2023-32435) mungkin telah dieksploitasi secara aktif pada versi sebelum iOS 15.7, dan mencatat bahwa tiga peneliti Kaspersky, Georgy Kucherin, Leonid Bezvershenko, dan Boris Larin, telah melaporkannya.

Penyedia keamanan siber Rusia telah menganalisis perangkat lunak mata-mata yang digunakan dalam serangan tanpa klik yang menargetkan perangkat iOS melalui aplikasi iMessages dengan lampiran yang mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE).

Kode eksploitasi dirancang untuk mengunduh komponen tambahan guna mendapatkan hak akses tinggi pada perangkat, kemudian menyebarkan pintu belakang (backdoor) di memori dan menghapus iMessages untuk menghapus jejak infeksi.

Implan yang disebut TriangleDB ini tidak meninggalkan jejak setelah perangkat dihidupkan ulang. Program ini mampu mengumpulkan dan memantau berbagai macam data. TriangleDB dapat berinteraksi dengan sistem file perangkat (membuat, memodifikasi, mengekstrak, dan menghapus), mengelola proses, mengekstrak item untuk mengumpulkan informasi login, dan memantau lokasi geografis korban...

Kaspersky juga telah merilis utilitas bernama "triangle_check," yang dapat digunakan oleh organisasi untuk memindai cadangan perangkat iOS dan mencari tanda-tanda peretasan pada perangkat mereka.

Apple juga telah menambal kerentanan Zero-Day ketiga, CVE-2023-32439, yang dilaporkan secara anonim. Kerentanan ini memungkinkan peretas untuk mengeksekusi kode sembarangan ketika peramban mengakses konten web berbahaya.

Pembaruan tersedia untuk platform iOS/iPadOS 16.5.1 untuk iPhone 8 dan yang lebih baru, iPad Pro, iPad Air 3, iPad Generasi ke-5, dan iPad mini Generasi ke-5 dan yang lebih baru. Model yang lebih lama seperti iPhone SE, iPhone 6s, iPod Touch Generasi ke-7, iPad Air 2, dll., juga akan menerima pembaruan iOS 15.7.7 dan iPadOS 15.7.7.

Pada perangkat wearable, Apple merilis watchOS 9.5.2 untuk Series 4 dan model yang lebih baru, bersama dengan watchOS 8.1.1 untuk Apple Watch Series 3 hingga Watch SE. Browser Safari juga diperbarui ke versi 16.5.1 pada macOS Monterey.

Dengan pembaruan terbaru ini, Apple telah mengatasi total sembilan kerentanan zero-day pada produk-produknya sejak awal tahun.