Isi pembaruan keamanan untuk iOS 15.8.5 dan iPadOS 15.8.5

 (support.apple.com)
1 poin oleh GN⁺ 2025-09-19 | 1 komentar | Bagikan ke WhatsApp
  • Pembaruan keamanan untuk iOS 15.8.5 dan iPadOS 15.8.5 telah dirilis
  • Kerentanan kerusakan memori dilaporkan saat memproses file gambar berbahaya
  • Ada kasus kerentanan ini dieksploitasi untuk menargetkan korban tertentu dalam serangan yang sangat canggih
  • Apple menyatakan masalah ini telah diperbaiki dengan penguatan pemeriksaan batas
  • Kerentanan keamanan terkait telah didaftarkan dan dilacak sebagai CVE-2025-43300

Ikhtisar

  • Panduan keamanan ini membahas konten terkait keamanan pada iOS 15.8.5 dan iPadOS 15.8.5
  • Apple menjalankan kebijakan untuk tidak membahas atau mengonfirmasi isu keamanan sampai investigasi dan patch selesai demi melindungi pelanggan
  • Daftar rilis keamanan yang baru dipublikasikan dapat dilihat di situs resmi Apple

Berlaku untuk

  • Pembaruan ini tersedia untuk iPhone 6s (semua model), iPhone 7 (semua model), iPhone SE (generasi ke-1), iPad Air 2, iPad mini (generasi ke-4), dan iPod touch (generasi ke-7)

Isu dan detail keamanan utama

  • Dampak: Saat memproses file gambar yang dimanipulasi secara berbahaya, kerusakan memori dapat terjadi
  • Apple menerima laporan bahwa kerentanan ini benar-benar telah dieksploitasi dalam serangan yang sangat canggih yang menargetkan individu tertentu
  • Penjelasan: Ditemukan kerentanan out-of-bounds write yang terjadi akibat penanganan nilai batas yang tidak tepat
  • Masalah ini diperbaiki melalui penguatan pemeriksaan batas
  • Kerentanan ini didaftarkan dan dikelola sebagai CVE-2025-43300

Catatan referensi lainnya

  • Apple tidak memberikan tanggung jawab maupun jaminan atas produk yang tidak diproduksi oleh Apple, situs web independen, serta produk dan layanan pihak ketiga
  • Untuk informasi tambahan mengenai produk pihak ketiga, perlu menghubungi produsennya

Informasi tambahan

  • Detail seperti pembaruan keamanan terbaru, skema CVE-ID, dan kebijakan keamanan Apple dapat dilihat di halaman resmi Apple terkait

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-19
Komentar Hacker News
  • Belakangan banyak opini negatif tentang UI Apple, tapi dukungan sampai ponsel yang benar-benar tua tetap patut diapresiasi. Rasanya hal seperti itu tidak bisa diharapkan dari lini Google Pixel lol
    • Model setelah Pixel 8 mendapat dukungan 7 tahun. Memang masih kalah dari Apple, tapi cukup masuk akal. Pixel 6~7 mendapat dukungan 5 tahun, dan itu memang terasa agak pendek. Yang benar-benar layak bikin orang bilang “lol” itu model sebelum 2021 atau beberapa model Motorola
    • Saya memakai Pixel 3XL, dan kalau dipasang ROM Android terbaru masih cukup enak dipakai. Jujur saja, sampai terasa lebih baik daripada Android murah keluaran terbaru. Sayangnya dukungan resminya sudah berakhir
    • Pixel XL saya masih lancar dipakai browsing web malam hari. Saya agak skeptis terhadap rasa cemas “tidak ada lagi pembaruan sistem”. Saya ingin mendengar studi atau pengalaman nyata tentang kasus orang yang benar-benar terekspos risiko keamanan karena memakai perangkat lama
    • Saya baru mengganti baterai iPhone 12 mini, dan performanya tetap sebagus saat pertama beli. Akan sedih kalau suatu hari nanti saya terpaksa ‘upgrade’
    • Di UE, dukungan pembaruan 5 tahun sudah jadi syarat minimum, jadi sekarang Apple justru masuk kelompok bawah kalau dibandingkan dengan Google atau Samsung. Mungkin dulu Apple lebih unggul, tapi sekarang pabrikan lain menawarkan dukungan yang lebih kuat dan juga dijamin secara hukum
  • Tidak mengejutkan. Dulu saya pernah bertemu Samsung untuk urusan kerja karena ingin membeli ratusan ponsel flagship, dan mereka bilang hanya akan memberi patch keamanan selama 3 tahun. Ini sekitar 2019. Sementara Apple, tanpa perlu pertemuan khusus, perkiraannya memberi dukungan sekitar 6 tahun. Jadi dari sisi ROI, untuk penggunaan kerja iPhone jelas bisa dipakai lebih lama. Akhirnya kami hanya membeli ratusan iPhone dan tidak mengadopsi Android. Secara pribadi saya pernah memakai Nexus S dan Nexus 5, dan umur pakainya pendek karena kurang pembaruan, tombol rusak, mikrofon rusak, dan sebagainya. Sony Xperia Z5 tiba-tiba kehilangan sensor sidik jari karena isu paten di Amerika Utara, lalu audio Bluetooth juga rusak sehingga judul lagu tidak tampil. Semua itu terjadi dalam waktu kurang dari 3 tahun. Saya tidak akan pernah lagi memakai ponsel Android Sony. Sampai di titik itu saya juga lelah dengan custom ROM dan akhirnya pindah ke kelompok “iPhone, it just works”
    • Sebagai catatan, Samsung sekarang memberi dukungan OS/keamanan 7 tahun untuk flagship, dan 6 tahun untuk seri Galaxy A entry-level/menengah
    • “it just works” itu cuma slogan pemasaran. Kalau hanya memakai fitur yang dipakai mayoritas orang (95%+), ya mungkin baik-baik saja, tapi begitu keluar dari itu, tidak ada yang tahu apa yang akan terjadi dan penyelesaian masalahnya juga sulit. Sistemnya tertutup dan terbatas. Saya sendiri kurang beruntung dengan Apple. Perangkat Apple kerja yang saya terima tidak lama didukung, lalu ada layar sentuh rusak, masalah software aplikasi, baterai cacat, fitur hotspot setengah jadi, dan banyak masalah lain. Di Android saya tidak mengalami hal seperti itu. Kalau aplikasi bermasalah, cukup reset datanya, sedangkan di iOS fitur seperti itu tidak ada, jadi merepotkan. Sekarang klien email milik teman pengguna Apple juga sedang tidak berjalan baik di iOS maupun macOS. Masalahnya muncul berbeda tergantung data dan OS, jadi sepertinya saya harus bolak-balik ke dua lokasi dan menempuh 90 menit untuk melihat langsung. Apple terlalu membatasi cara memperbaiki masalah saat perangkat rusak, jadi bagi saya itu vendor yang tidak ingin saya pakai untuk bekerja. Tentu sebagian besar fungsi “berjalan baik”, tapi Android juga begitu, dan seperti saya apes dengan Sony, saya juga kebetulan apes dengan Apple. Jika masalahnya parah seperti di Sony, saya justru lebih suka punya pilihan mengganti OS
  • Salah satu penyebab besar sulitnya dukungan jangka panjang di Android adalah vendor modem/SoC seperti Qualcomm hanya memberi pembaruan driver dan software selama beberapa tahun. Untuk perangkat sebelum 2020~2021, hampir tidak ada pembaruan driver kernel atau modem. Memang pabrikan tetap berperan dalam integrasi, tapi akibatnya bahkan ROM pihak ketiga (misalnya lineageos) juga jadi punya masa dukungan terbatas. Apple menangani sebagian besar komponen dan software secara in-house, sehingga bisa lebih fleksibel memberi dukungan panjang
    • Yang membuat saya sulit setuju dengan argumen itu adalah, banyak kerentanan keamanan (CVE) sebenarnya tidak berkaitan dengan bagian yang dikendalikan Broadcom seperti modem atau driver baseband. Google masih bisa menambal library atau aplikasi, yaitu area yang lebih besar risiko serangannya. Justru saya lebih khawatir pada kerentanan di sisi “parsing gambar dalam pesan”. Ini jenis serangan yang bisa terjadi hanya dengan mengklik gambar, dan terasa jauh lebih realistis dibanding kerentanan modem
    • Itu benar, tapi pada akhirnya ini memang keterbatasan mendasar dari desain Android sendiri. Menurut saya Android memang layak dikritik karena hal ini
    • Kalau dipikir-pikir, ini konyol. NIC berusia 20 tahun pun masih didukung drivernya di kernel Linux, jadi driver perangkat keras ponsel seharusnya dirilis di bawah GPL. Driver tertutup pada akhirnya dipakai untuk membuat perangkat cepat usang secara sengaja
    • Yang membantah alasan umum itu adalah adanya mekanisme legal bernama ‘kontrak’. Setelah proyek dikirim pun, vendor bisa diwajibkan menyediakan pembaruan selama yang diinginkan. Saya sendiri terus melakukan kontrak seperti ini dalam konsultasi enterprise
    • Menurut saya kalau Google benar-benar mau, semua ini bisa diatasi dengan kontrak dan uang
  • Dalam pengumuman keamanan Apple tertulis “mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi dalam serangan yang sangat canggih terhadap target tertentu”. Saya penasaran apakah fakta bahwa mereka memberi patch keamanan untuk versi lama seperti ini bisa dianggap sinyal bahwa kerentanannya sangat berbahaya. Saya juga ingin tahu standar resmi masa dukungan keamanan Apple
    • Ini berarti memang ada kasus eksploitasi dalam kampanye spyware nyata. Rantai eksploit penuh memakai kerentanan kedua di sisi WhatsApp, dan kerentanan ini sendiri ada di semua aplikasi yang memakai modul pemrosesan gambar bawaan Apple, tetapi berkat sandbox Apple (iMessage dengan BlastDoor, Safari dengan web content sandbox, dll.), kemungkinan eksploitasi tanpa cacat tambahan cukup rendah. Namun kalau justru WhatsApp sendiri yang rentan, ceritanya berbeda. Dari sudut pandang penyerang spyware, WhatsApp adalah target terbaik. Referensi: WhatsApp security advisory
    • Satu hal yang menarik, patch kali ini keluar sebelum percabangan iPadOS, jadi iPad juga ikut mendapat pembaruan. Dugaan saya, mungkin perangkat POS yang memakai iPad lama juga menjadi target serangan. Mengganti sistem POS di restoran juga bukan hal mudah. Vendor POS juga sering memasang harga keterlaluan

    • Seberapa lama masa dukungan keamanan default Apple?
      Sebenarnya perangkat ini belum lama sekali berakhir dukungannya. Pembaruan keamanan terakhir iOS 15 keluar awal tahun ini, dan baru beberapa tahun lalu iPhone 6s dikeluarkan dari dukungan OS baru mulai iOS 16. Sebagai orang yang pernah memakai iPhone lebih dari 5 tahun, saya merasa sangat berterima kasih karena dukungannya jauh lebih lama daripada Android

    • Apakah backport seperti ini menandakan kerentanannya serius?
      Saya juga menduga begitu. Dari sudut pandang pengguna, ini terasa seperti isu serius yang tidak bisa dikendalikan pengguna sendiri (zero-click). Tentu saya tidak tahu posisi Apple, tapi saya punya dugaan yang sama

    • Tidak ada periode resmi yang benar-benar pasti. Kalau isunya sangat penting, mereka kadang merilis pembaruan sampai ke perangkat yang sangat lama. Misalnya dulu ada pembaruan kedaluwarsa Apple CA untuk terminal Square berbasis iPad yang dirilis untuk hampir semua perangkat. Dugaan saya, penentuan akhir masa dukungan dipengaruhi telemetri Apple (analisis kondisi perangkat) dan threat model mereka
  • Menarik bahwa Apple merilis pembaruan keamanan untuk perangkat lama. Apalagi kali ini secara khusus terkait pertahanan terhadap penyerang tingkat negara (misalnya perang siber)

    Apple mengetahui laporan bahwa masalah ini telah dieksploitasi dalam serangan yang sangat canggih terhadap target tertentu

    • Kalau memang ada kemungkinan serangan tingkat negara, menurut saya sebaiknya memakai ponsel baru dengan OS terbaru. Harga ponsel terbaru hanya beberapa ratus dolar, jadi kalau Anda khawatir jadi target pemerintah, seharusnya mudah mengganti ke ponsel yang dirilis dalam 5 tahun terakhir. Sangat layak dilakukan
    • Saya justru melihatnya sebagai strategi untuk menambal lebih cepat sebelum teknik serangan yang rumit dan peretasan tingkat negara menyebar menjadi alat peretasan yang lebih umum, sehingga lebih banyak pengguna biasa bisa terlindungi
  • Menurut saya judul artikelnya agak menyesatkan. Seolah-olah hanya iPhone 6s yang mendapat pembaruan, padahal sebenarnya iPhone 6s/7/SE generasi 1, iPad Air 2, iPad mini generasi 4, dan iPod touch generasi 7 juga semuanya bisa diperbarui. Jadi tidak tepat kalau hanya menekankan “iPhone 6s berusia 10 tahun”. Sebagai catatan, iPhone 7 dan iPad mini cadangan saya belum akan langsung saya perbarui karena khawatir soal jailbreak
    • Mungkin artikel itu hanya menyebut perangkat paling tua sebagai perwakilan. Menurut saya itu bukan masalah besar
  • Dalam situasi seperti ini, siapa pun pasti bisa merasakan nuansa serangan tingkat negara
    • Saya menduga ini ulah satu negara tertentu
  • Memang benar Apple mendukung ponsel cukup lama. Tapi klaim dukungan 10 tahun itu hanya berlaku kalau Anda membeli iPhone 6s mahal-mahal tepat saat peluncuran. iPhone 7 (Plus) masih dijual sampai 2019, dan versi OS-nya sama. Kalau dilihat dengan ketat, upgrade OS sekitar 3 tahun dan patch keamanan sekitar 6 tahun
    • Kalau masa dukungan dihitung dari saat penjualan oleh pabrikan berakhir, beberapa perangkat Android malah bisa punya angka tahun dukungan negatif (-). Dan 6 tahun itu pun “sampai sekarang” masih terus didukung
  • Bagus bahwa Apple merilis pembaruan. Tapi kalau ini sampai memungkinkan remote code execution (RCE), saya jadi penasaran apakah itu berarti iPhone 6s masih cukup banyak dipakai aktif sehingga penyerang jahat mungkin melakukan serangan massal
  • “iOS 18.6.1 0-click RCE POC,” 50 komentar, tautan terkait
    • WhatsApp security advisory yang sepertinya belum disebut di thread sebelumnya juga layak dilihat. Eksploit kali ini tampaknya terkait isu di WhatsApp, dengan struktur memuat data DNG berbahaya ke WhatsApp secara “zero-click”. Belum jelas apakah ini juga melibatkan sandbox escape atau kerentanan kernel. Mungkin dampaknya hanya sampai pencurian pesan WhatsApp. Biasanya bypass keamanan iOS perlu merangkai beberapa kerentanan, jadi kalau target aplikasinya sendiri rentan seperti ini, serangannya menjadi jauh lebih mudah