Pada 10 Desember, Apple
merilis sejumlah besar tambalan untuk
macOS ,
iOS (termasuk iPadOS) dan
watchOS . Mungkin bug yang paling berbahaya dari bug tertutup adalah kerentanan FaceTime, yang memengaruhi semua perangkat mobile Apple mulai dari iPhone 6s dan iPad Air 2. Seperti halnya
kerentanan yang baru ditemukan
di WhatsApp , masalahnya ditemukan dalam sistem pemrosesan file video yang masuk: video berbahaya dapat menyebabkan eksekusi kode arbitrer. Kerentanan CVE-2019-8830 ditemukan oleh Natalie Silvanovich, seorang peneliti di tim Google Project Zero: tahun lalu ia menulis secara terperinci tentang keamanan pengirim pesan instan, termasuk FaceTime (Anda dapat mulai dengan
artikel setahun yang lalu dengan contoh-contoh kerentanan yang sebelumnya ditemukan dalam aplikasi).
Kerentanan lain
ditemukan oleh peneliti Kishan Bagaria: ia menemukan bahwa mengirim dokumen ke perangkat Apple terdekat terus-menerus mengakibatkan penolakan layanan. Untuk melakukan ini, kemampuan untuk menerima file melalui mekanisme AirDrop dari siapa pun (dan bukan hanya dari pengguna dalam daftar kontak Anda) harus diaktifkan di iPad atau iPhone Anda. Bug itu dinamakan AirDoS: intinya adalah bahwa permintaan untuk menerima file harus diterima atau ditolak, dan sampai ini selesai, kontrol lain pada perangkat seluler tidak tersedia. Jika Anda mengirim permintaan terus-menerus, tablet atau ponsel cerdas sebenarnya tidak beroperasi. Bug ini ditutup di iOS 13.3 dengan memperkenalkan batas jumlah upaya: jika Anda menolak permintaan tiga kali berturut-turut, semua upaya berikutnya untuk mengirim file dari perangkat yang sama diblokir secara otomatis.
Bug yang menarik ditemukan dan ditutup di prosesor Intel (
berita ,
buletin pabrik,
situs kerentanan). Para peneliti dari universitas di Austria, Belgia dan Inggris telah menemukan cara untuk mengkompromikan mekanisme
Ekstensi Penjaga Perangkat Lunak - ini memberikan perlindungan tambahan untuk data penting, seperti kunci enkripsi, mengisolasi mereka dari proses lain dalam sistem. Metode peretasan dipilih non-sepele: modifikasi register prosesor yang bertanggung jawab untuk konsumsi daya. Dalam situasi normal, mereka digunakan untuk meningkatkan kinerja atau penghematan energi tambahan di luar pengaturan prosesor standar.
Para peneliti membuktikan bahwa pengurangan tegangan yang signifikan (misalnya, -232 mV untuk prosesor Core i3-7100U atau -195 mV untuk Core i7-8650U) pada waktu yang tepat menyebabkan SGX tidak berfungsi dan menyebabkan kerusakan data: di mana ada kerusakan, peluang terbuka untuk mendapatkan akses ke data yang tidak dapat diakses. Sebagai contoh, para ahli menunjukkan ekstraksi kunci enkripsi menggunakan algoritma RSA dan AES.
Seperti yang biasa terjadi dengan serangan jenis ini, tidak mudah untuk memilih tegangan dan momen yang tepat untuk mengubah parameter. Selain itu, serangan nyata semacam ini, meskipun dapat dilakukan dari jarak jauh (yang tidak khas untuk kerentanan perangkat keras), tetapi membutuhkan akses penuh ke sistem operasi. Jika tidak, Anda tidak dapat mencapai parameter prosesor. Menutup kerentanan dalam hal ini berarti memperbarui mikrokode, yang masih harus sampai ke perangkat nyata (semua prosesor pengguna Intel Core dari generasi keenam terpengaruh, dan beberapa Xeon) dalam bentuk pembaruan BIOS.
Kaspersky Lab telah menerbitkan
laporan lengkap (tersedia setelah pendaftaran, ikhtisar singkat dalam
berita ini ) tentang ancaman dunia maya untuk 2019. Yang menarik dalam laporan ini adalah daftar kerentanan yang sebenarnya digunakan dalam malware. Tidak seperti kerentanan teoretis, ini adalah ancaman khusus dan memerlukan pembaruan perangkat lunak segera. Namun, untuk bug yang dieksploitasi paling populer, pembaruan telah tersedia selama lebih dari setahun. Di bagian atas daftar ini adalah dua kerentanan di Microsoft Office Formula Editor,
CVE-2017-11882 dan
CVE-2018-0802 . Lima bug yang paling umum digunakan umumnya terkait dengan Microsoft Office. Contoh kerentanan baru adalah bug CVE-2019-0797 yang ditemukan pada bulan Maret, yang pada waktu itu
sudah dieksploitasi dalam serangan berbahaya.
Apa lagi yang terjadi:Kerentanan kritis ditemukan di dua pengaya WordPress: Addons Ultimate untuk Beaver Builder dan Addons Ultimate untuk Elementor. Untuk operasi, Anda hanya perlu mengetahui alamat surat dari administrator situs.
Kerentanan nol-hari lain di Windows (dari 7 hingga 10 dan di Windows Server dari 2008)
ditutup oleh patch Desember. Bug ini
ditemukan di pustaka sistem win32k.sys, juga berisi kerentanan yang disebutkan sebelumnya CVE-2019-0797.
Dalam versi baru Google Chrome 79
, dua kerentanan kritis
ditutup , dan pada saat yang sama, alarm standar baru muncul tentang penggunaan pasangan kata sandi login yang dikompromikan. Opsi ini sebelumnya tersedia sebagai ekstensi.
14 kerentanan kritis
ditutup pada Adobe Reader dan Adobe Acrobat. Ditambah dua kerentanan yang mengarah pada eksekusi kode arbitrer di Adobe Photoshop.
Pengembang add-on Firefox sekarang
diminta untuk menggunakan otorisasi dua faktor. Dengan cara ini, Mozilla berusaha mengurangi risiko serangan pada rantai pasokan: dalam hal ini, kami mempertimbangkan skenario di mana kode berbahaya dimasukkan ke dalam ekstensi yang sah setelah meretas komputer pengembang.