Sebuah bug dengan kode CVE-2020-9992 dapat mengambil alih perangkat berbasis iOS dengan mengeksekusi kode tertentu jika korban membuka file tertentu.
Bug ini dapat mengeksekusi kode arbitrer pada perangkat yang terinfeksi saat sedang digunakan.
Peneliti keamanan menyatakan bahwa bug sangat berkaitan dengan perangkat lunak Apple yang disebut Xcode, sebuah platform bagi para developer untuk mempermudah mereka membuat aplikasi khusus Mac, iPhone, dan iPad.
Xcode ternyata berperan untuk memberi celah bagi hacker mengeksekusi kode arbitrer pada sistem, yang disebabkan oleh kesalahan pada komponen IDE.
Caranya adalah dengan “menipu” korban agar membuka file tertentu yang mengandung malware. Setelah dibuka, maka peretas langsung dapat mengeksekusi kode arbitrer pada perangkat yang bersangkutan.
Pihak Apple sendiri telah melakukan patch terhadap bug ini dengan cara mengenkripsi komunikasi melalui jaringan ke perangkat yang menjalankan iOS 14, iPadOS 14, tvOS 14, dan watchOS 7.
Apple tidak akan merilis sebuah bug kepada publik jika belum diperbaiki (patched). Itulah mengapa melalui laman resmi mereka, Apple juga telah merilis beberapa patch update dengan kode berikut ini:
1. CVE-2020-9958
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Aplikasi dapat mengakibatkan sistem berhenti tiba-tiba atau menulis memori kernel.
- Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
2. CVE-2020-9979
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Penyerang mungkin dapat menyalahgunakan hubungan tepercaya untuk mengunduh konten berbahaya.
- Deskripsi: Masalah kepercayaan telah diatasi dengan menghapus API lama.
3. CVE-2020-9773
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Aplikasi yang berbahaya mungkin dapat mengidentifikasi aplikasi lain yang telah diinstal pengguna.
- Deskripsi: Masalah telah diatasi dengan penanganan cache ikon yang ditingkatkan.
4. CVE-2020-9964
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Pengguna lokal mungkin dapat membaca memori kernel.
- Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
5. CVE-2020-9976
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Aplikasi yang berbahaya dapat membocorkan informasi sensitif pengguna.
- Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
6. CVE-2020-9973
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Memproses file USD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.
- Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9946
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Kunci layar mungkin tidak aktif setelah jangka waktu yang ditentukan.
- Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
7. CVE-2020-9968
- Perangkat: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru.
- Dampak: Aplikasi yang berbahaya mungkin dapat mengakses file yang dibatasi.
- Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
8. CVE-2020-9959
- Perangkat: iPhone 6S dan lebih baru, iPod touch generasi ke-7, iPad Air 2 dan lebih baru, dan iPad mini 4 dan lebih baru.
- Dampak: Seseorang dengan akses fisik ke perangkat iOS mungkin dapat melihat konten pemberitahuan dari layar kunci.
- Deskripsi: Masalah layar kunci mengizinkan akses ke pesan di perangkat terkunci. Masalah ini telah diatasi dengan manajemen keadaan yang ditingkatkan.