Update keamanan Apple terbaru adalah serangkaian patch perangkat lunak esensial yang dirilis untuk menutup celah kerentanan kritis pada ekosistem sistem operasi mereka. Pengertian dari pembaruan kali ini berfokus pada mitigasi dua eksploitasi zero-day spesifik di engine WebKit yang memungkinkan peretas mengeksekusi kode berbahaya atau merusak memori perangkat kalian melalui konten web yang telah dimanipulasi.
Baru-baru ini, Apple merilis pembaruan keamanan besar-besaran untuk hampir seluruh lini produk mereka, mulai dari iOS, iPadOS, macOS, hingga visionOS. Langkah ini diambil bukan tanpa alasan, melainkan sebagai respons cepat terhadap dua celah keamanan yang menurut laporan, sudah dieksploitasi secara aktif di “alam liar” atau in the wild. Kalau kita bedah lebih dalam, ini bukan sekadar bug fix biasa yang sering kalian abaikan notifikasinya. Ini menyangkut celah yang memungkinkan pihak tak bertanggung jawab masuk ke sistem inti perangkat kalian. Celah pertama diberi kode CVE-2025-43529. Secara teknis, ini didefinisikan sebagai kerentanan use-after-free di WebKit. Bagi yang belum familiar, WebKit adalah mesin rendering yang menjadi otak di balik browser Safari dan banyak aplikasi lain di iOS. Sederhananya, use-after-free terjadi ketika program mencoba menggunakan memori yang sebenarnya sudah “dibuang” atau dibebaskan, yang bisa memicu eksekusi kode arbitrer.
Nah, yang kedua ini agak menarik dan rasanya perlu perhatian khusus, yaitu CVE-2025-14174 dengan skor CVSS 8.8. Ini adalah masalah korupsi memori, juga di WebKit. Menariknya, celah ini ternyata “kembar” dengan kerentanan yang baru saja ditambal Google di Chrome pada 10 Desember 2025 lalu. Google mendeskripsikannya sebagai akses memori di luar batas (out-of-bounds) pada pustaka Almost Native Graphics Layer Engine (ANGLE), khususnya di bagian penyaji (renderer) Metal. Jadi, kalau kalian perhatikan, ada irisan teknologi di mana komponen open-source yang dipakai Google juga berdampak pada ekosistem Apple.
Begitunya, Apple secara terbuka mengakui bahwa kelemahan ini mungkin telah dieksploitasi dalam serangan yang sangat canggih. Targetnya pun spesifik, bukan serangan massal acak, melainkan individu tertentu. Ini indikasi kuat kalau yang bermain di sini adalah spyware bayaran alias mercenary spyware. Kami di komunitas keamanan siber melihat pola ini sering terjadi pada serangan terhadap jurnalis, aktivis, atau tokoh politik. Kolaborasi penemuan ini juga cukup solid; Apple Security Engineering and Architecture (SEAR) bekerja sama dengan Google Threat Analysis Group (TAG). Google TAG bahkan yang menemukan CVE-2025-43529. Jarang-jarang kan kita melihat kolaborasi lintas raksasa teknologi yang seintens ini kalau bukan karena ancamannya yang memang serius?
Karena kedua celah ini menyerang WebKit, implikasinya cukup luas. Ingat, di iOS dan iPadOS, semua browser pihak ketiga—entah itu Chrome, Edge, atau Firefox—wajib menggunakan mesin rendering WebKit milik Apple. Jadi, meskipun kalian merasa aman karena pakai Chrome di iPhone, kalau iOS-nya belum di-update, risiko itu tetap ada. Kayaknya ini jadi pengingat buat kita semua bahwa lapisan keamanan itu saling terkait, nggak berdiri sendiri-sendiri.
Untuk kalian yang bertanya-tanya apakah perangkat kalian termasuk dalam daftar yang harus segera “di-obat-i”, berikut adalah rincian versi sistem operasi yang telah menyertakan perbaikan untuk kedua celah tersebut:
- iOS 26.2 dan iPadOS 26.2: Ini ditujukan untuk iPhone 11 ke atas, serta berbagai model iPad Pro, iPad Air generasi ke-3 ke atas, dan iPad mini generasi ke-5 ke atas.
- iOS 18.7.3 dan iPadOS 18.7.3: Update ini khusus untuk perangkat yang sedikit lebih lawas namun masih didukung, seperti iPhone XS dan model iPad setara.
- macOS Tahoe 26.2: Bagi pengguna Mac yang sudah menjalankan macOS Tahoe terbaru.
- tvOS 26.2: Berlaku untuk semua model Apple TV HD dan Apple TV 4K.
- watchOS 26.2: Untuk kalian pengguna Apple Watch Series 6 dan yang lebih baru.
- visionOS 26.2: Tentunya untuk perangkat spasial Apple Vision Pro.
- Safari 26.2: Update browser mandiri untuk Mac yang menjalankan macOS Sonoma dan macOS Sequoia.
Dengan rilisnya patch ini, Apple tercatat sudah menambal sembilan kerentanan zero-day sepanjang tahun 2025 ini. Angka yang lumayan bikin was-was kalau dipikir-pikir, karena artinya “mereka” di luar sana terus mencari celah baru secara agresif. Daftar ini mencakup CVE lain seperti CVE-2025-24085 hingga CVE-2025-43300 yang sebelumnya juga sempat heboh. Kuranglebihnya, ini adalah perang abadi antara pengembang sistem dan peretas.
Berdasarkan pengamatan kami terhadap tren eksploitasi tahun ini, menunda pembaruan sistem operasi adalah perjudian yang risikonya terlalu besar. Celah pada WebKit dan ANGLE ini membuktikan bahwa komponen open-source yang dibagi antar raksasa teknologi bisa menjadi pedang bermata dua; mempercepat inovasi tapi juga bisa mereplikasi kerentanan lintas platform. Bagi rekan-rekanita yang perangkatnya masuk dalam daftar di atas, rekomendasi aksi paling logis saat ini adalah segera lakukan update manual jika belum otomatis terunduh. Jangan tunggu sampai kalian menjadi bagian dari statistik korban serangan “sophisticated” berikutnya. Terimakasih sudah membaca ulasan ini, tetap waspada dan amankan aset digital kalian.
Sumber: thehackernews