Apple kembali merilis pembaruan keamanan darurat untuk seluruh ekosistem perangkatnya setelah terungkap dua celah serius pada WebKit yang diketahui telah dieksploitasi secara aktif di dunia nyata.
Celah keamanan ini berdampak luas karena WebKit merupakan mesin peramban inti yang digunakan tidak hanya oleh Safari, tetapi juga oleh seluruh browser pihak ketiga di iPhone dan iPad.
Pembaruan ini dirilis pada Jumat (13/12/2025) dan mencakup iOS, iPadOS, macOS, watchOS, tvOS, visionOS, serta browser Safari.
Apple mengonfirmasi bahwa salah satu kerentanan tersebut bahkan identik dengan celah yang baru saja ditambal Google pada browser Chrome beberapa hari sebelumnya.
Dua Celah WebKit yang Berbahaya
Apple mengungkapkan bahwa dua kerentanan tersebut berpotensi memungkinkan eksekusi kode berbahaya hanya dengan membuka konten web yang telah dimodifikasi secara khusus. Berikut ringkasan celah yang diperbaiki:
- CVE-2025-43529
Celah use-after-free di WebKit yang memungkinkan penyerang menjalankan kode arbitrer saat korban memproses konten web berbahaya. - CVE-2025-14174 (CVSS 8.8 – High)
Kerusakan memori (memory corruption) di WebKit yang dapat dimanfaatkan untuk mengganggu sistem atau menjalankan serangan lanjutan.
Apple menyebutkan bahwa kedua celah ini kemungkinan telah digunakan dalam serangan yang sangat canggih dan terarah, menyasar individu tertentu yang menjalankan versi iOS sebelum iOS 26.
Terkait Langsung dengan Celah Chrome
Menariknya, CVE-2025-14174 merupakan celah yang sama dengan yang ditambal Google pada 10 Desember 2025. Google mengidentifikasi kerentanan tersebut sebagai akses memori di luar batas (out-of-bounds) pada pustaka open-source ANGLE, khususnya pada Metal renderer.
Tim Google Threat Analysis Group (TAG) berperan besar dalam pengungkapan celah ini, sementara Apple Security Engineering and Architecture (SEAR) juga turut menginvestigasi dan mengonfirmasi eksploitasi aktifnya.
Kolaborasi dua raksasa teknologi ini mengindikasikan bahwa ancaman tersebut bukan serangan biasa, melainkan serangan tingkat tinggi yang kemungkinan melibatkan spyware atau aktor siber profesional.
Mengapa WebKit Sangat Krusial?
WebKit adalah mesin peramban yang digunakan oleh semua browser di iOS dan iPadOS, termasuk Chrome, Microsoft Edge, dan Firefox. Artinya, meskipun pengguna tidak memakai Safari, perangkat tetap rentan jika WebKit memiliki celah keamanan.
Hal ini menjadikan eksploitasi WebKit sebagai target empuk dalam serangan spyware berbasis web, karena cukup mengelabui korban untuk membuka tautan berbahaya tanpa perlu menginstal aplikasi tambahan.
Daftar Perangkat dan Versi yang Mendapat Patch
Apple telah memperbaiki celah ini melalui sejumlah pembaruan berikut:
- iOS 26.2 & iPadOS 26.2
iPhone 11 ke atas, iPad Pro generasi ke-3 ke atas, iPad Air generasi ke-3 ke atas, iPad mini generasi ke-5 ke atas - iOS 18.7.3 & iPadOS 18.7.3
iPhone XS ke atas dan berbagai model iPad lawas yang masih didukung - macOS Tahoe 26.2
Seluruh Mac yang menjalankan macOS Tahoe - Safari 26.2
macOS Sonoma dan macOS Sequoia - watchOS 26.2
Apple Watch Series 6 dan lebih baru - tvOS 26.2
Apple TV HD dan Apple TV 4K - visionOS 26.2
Seluruh model Apple Vision Pro
Apple sangat menyarankan pengguna untuk segera memperbarui perangkat mereka, terutama mengingat celah ini telah dimanfaatkan secara aktif.
Apple Catat Sembilan Zero-Day Sepanjang 2025
Dengan rilis patch ini, Apple tercatat telah menambal sembilan celah zero-day sepanjang tahun 2025. Beberapa di antaranya termasuk:
- CVE-2025-24085
- CVE-2025-24200
- CVE-2025-24201
- CVE-2025-31200
- CVE-2025-31201
- CVE-2025-43200
- CVE-2025-43300
Lonjakan jumlah zero-day ini menunjukkan bahwa serangan siber terhadap ekosistem Apple semakin kompleks dan terarah, terutama terhadap target bernilai tinggi seperti jurnalis, aktivis, pejabat, dan eksekutif perusahaan.
Jika kamu menggunakan iPhone, iPad, Mac, atau Apple Watch, update software secepatnya adalah langkah paling sederhana namun paling efektif untuk melindungi data dan privasi.
