Apple Tambal Dua Celah Zero-Day yang Dieksploitasi dalam Serangan “Sangat Canggih”

Apple merilis pembaruan keamanan darurat untuk menutup dua celah zero-day yang diketahui telah dieksploitasi dalam serangan yang digambarkan sebagai “sangat canggih” dan menargetkan individu tertentu. Kedua kerentanan tersebut ditemukan pada komponen WebKit dan berdampak pada berbagai perangkat Apple.

Dua celah keamanan ini masing-masing dilacak sebagai CVE-2025-43529 dan CVE-2025-14174. Apple menyatakan bahwa keduanya ditangani sebagai respons atas laporan eksploitasi yang sama, yang menargetkan pengguna iOS versi sebelum iOS 26.

Dalam buletin keamanannya, Apple mengonfirmasi bahwa perusahaan mengetahui adanya laporan eksploitasi terhadap celah tersebut dalam serangan yang sangat terarah. Meski demikian, detail teknis mengenai metode serangan maupun identitas target tidak diungkapkan ke publik.

CVE-2025-43529 merupakan kerentanan use-after-free pada WebKit yang memungkinkan eksekusi kode jarak jauh melalui konten web berbahaya yang dirancang khusus. Celah ini ditemukan oleh Google Threat Analysis Group. Sementara itu, CVE-2025-14174 adalah kerentanan korupsi memori pada WebKit yang berpotensi menyebabkan kerusakan memori, dan ditemukan melalui kolaborasi antara Apple dan Google Threat Analysis Group.

Kedua celah tersebut berdampak pada berbagai perangkat Apple, termasuk iPhone 11 dan model yang lebih baru, sejumlah varian iPad Pro, iPad Air generasi ketiga ke atas, iPad generasi kedelapan ke atas, serta iPad mini generasi kelima dan seterusnya.

Apple telah menutup kerentanan ini melalui pembaruan pada berbagai sistem operasinya, termasuk iOS dan iPadOS versi terbaru, macOS Tahoe, tvOS, watchOS, visionOS, serta Safari. Langkah ini dilakukan untuk memastikan perlindungan menyeluruh di seluruh ekosistem perangkat Apple.

Menariknya, Google juga merilis perbaikan untuk celah zero-day misterius di Google Chrome pada pekan yang sama. Awalnya, bug tersebut hanya diberi label internal, namun kemudian diperbarui dan diidentifikasi sebagai CVE-2025-14174. Hal ini mengindikasikan adanya koordinasi pengungkapan antara Apple dan Google, mengingat WebKit juga digunakan oleh Chrome di platform iOS.

Karena kedua celah memengaruhi WebKit, aktivitas eksploitasi ini dinilai konsisten dengan pola serangan spyware yang sangat terarah dan biasanya menyasar target bernilai tinggi. Meski eksploitasi dilaporkan terbatas pada serangan tertentu, Apple tetap mengimbau seluruh pengguna untuk segera memasang pembaruan keamanan terbaru guna meminimalkan risiko.

Dengan perbaikan ini, Apple tercatat telah menambal tujuh celah zero-day yang dieksploitasi secara aktif sepanjang 2025. Beberapa di antaranya telah ditangani sejak awal tahun, termasuk kerentanan yang diperbaiki pada Januari, Februari, Maret, dan April. Pada September lalu, Apple juga melakukan backport perbaikan zero-day ke perangkat lama yang masih digunakan secara luas.