Raksasa teknologi Apple menutup pekan ini dengan merilis serangkaian pembaruan keamanan darurat pada hari Jumat. Pembaruan ini mencakup seluruh ekosistem perangkat mereka, mulai dari iOS, iPadOS, macOS, tvOS, watchOS, hingga visionOS dan browser Safari.

Langkah agresif ini diambil bukan untuk perbaikan fitur, melainkan untuk menambal dua kerentanan keamanan kritis yang dikonfirmasi oleh Apple telah dieksploitasi secara aktif di alam liar (in the wild). Salah satu celah ini memiliki kaitan langsung dengan kerentanan yang baru saja ditambal oleh Google pada browser Chrome awal minggu ini, menandakan adanya kampanye serangan siber lintas-platform yang canggih.

Baca Juga: National Cybersecurity Connect 2025: BSSN Tekankan Pertahanan Siber sebagai Fondasi Ekonomi Digital Menuju Indonesia Emas

Kedua kerentanan ini menyerang jantung pengalaman web di perangkat Apple, yaitu WebKit—mesin rendering yang mengotaki browser Safari dan menjadi landasan bagi semua browser pihak ketiga di iOS.

Berikut adalah detail teknis kedua CVE (Common Vulnerabilities and Exposures) tersebut:

1. CVE-2025-43529 (Use-After-Free):
   • Jenis Kerentanan: Use-After-Free pada WebKit. Ini terjadi ketika aplikasi mencoba mengakses memori yang sebelumnya telah dibebaskan atau dihapus.
   • Dampak: Celah ini memungkinkan penyerang untuk melakukan Eksekusi Kode Sewenang-wenang (Arbitrary Code Execution). Cukup dengan memancing korban mengunjungi situs web yang telah disisipi konten jahat, peretas dapat menjalankan perintah berbahaya di perangkat korban tanpa izin.
   • Penemu: Dilaporkan oleh Google Threat Analysis Group (TAG).
2. CVE-2025-14174 (Memory Corruption):
   • Jenis Kerentanan: Masalah korupsi memori pada komponen grafis.
   • Koneksi Google: Celah ini identik dengan yang ditambal Google di Chrome pada 10 Desember 2025. Masalah ini terletak pada pustaka open-source ANGLE (Almost Native Graphics Layer Engine), spesifiknya pada renderer Metal milik Apple.
   • Dampak: Pemrosesan konten web jahat dapat merusak memori sistem, yang berujung pada crash atau eksekusi kode jahat.
   • Penemu: Apple Security Engineering and Architecture (SEAR) dan Google TAG.

Dalam penjelasannya, Apple memberikan pernyataan yang sangat spesifik dan mengkhawatirkan:

"Masalah ini mungkin telah dieksploitasi dalam serangan yang sangat canggih terhadap individu-individu tertentu yang ditargetkan."

Bahasa birokratis ini adalah kode keras bagi komunitas keamanan siber. Frasa "serangan canggih terhadap target spesifik" hampir selalu merujuk pada Mercenary Spyware (Spyware Bayaran) kelas militer, seperti yang diproduksi oleh NSO Group (Pegasus) atau vendor serupa.

Fakta bahwa kedua celah ini menyerang WebKit menjadikannya senjata yang sangat efektif. Karena kebijakan Apple (hingga titik ini) mengharuskan semua browser di iOS (termasuk Chrome dan Firefox) menggunakan mesin WebKit, maka seluruh pengguna iPhone adalah target potensial, terlepas dari browser apa yang mereka gunakan.

Apple telah merilis patch untuk menutup celah ini. Pengguna sangat disarankan untuk segera memperbarui perangkat ke versi berikut:

• iOS 26.2 & iPadOS 26.2: Untuk iPhone 11 ke atas dan iPad modern.
• iOS 18.7.3 & iPadOS 18.7.3: Pembaruan keamanan untuk perangkat lama (iPhone XS, dll).
• macOS Tahoe 26.2: Untuk komputer Mac terbaru.
• visionOS 26.2: Untuk pengguna Apple Vision Pro.
• watchOS 26.2: Untuk Apple Watch Series 6 ke atas.
• Safari 26.2: Untuk Mac yang menjalankan macOS Sonoma dan Sequoia.

Dengan rilis ini, Apple secara total telah menambal sembilan kerentanan Zero-Day sepanjang tahun 2025. Angka ini menunjukkan bahwa ekosistem Apple, yang sering dianggap sebagai benteng keamanan, tetap menjadi target utama para pengembang exploit. Kolaborasi antara Apple SEAR dan Google TAG dalam penemuan ini juga menyoroti pentingnya kerja sama lintas-rival dalam menghadapi musuh bersama: industri spyware komersial yang semakin agresif.