CWE: CWE-843

Severity: High

CVE-2024-23222 adalah kerentanan type confusion pada WebKit, memungkinkan penyerang mengeksekusi kode arbitrer melalui konten web berbahaya di iOS, iPadOS, macOS, dan tvOS. WebKit adalah mesin peramban sumber terbuka yang digunakan untuk merender halaman web di Safari, IOS, iPadOS, macOS, dan beberapa browser lainnya. Apple telah merilis pembaruan keamanan, termasuk iOS 17.3, macOS Sonoma 14.3, dan tvOS 17.3, sehingga pengguna disarankan untuk segera memperbaharui perangkat mereka. 

Access of Resources Using Incompatible Type ('Type Confusion')

Tipe kerentanan yang terjadi ketika suatu program salah menginterpretasikan tipe data dalam memori, memungkinkan penyerang mengeksploitasi kesalahan ini untuk menjalankan kode arbitrer atau mengakses sumber daya yang tidak sah. 

Langkah Mitigasi

Apple telah merilis pembaruan keamanan untuk mengatasi CVE-2024-23222, termasuk dalam iOS 16.7.5, iPadOS 16.7.5, macOS Ventura 13.6.4, tvOS 17.3, dan Safari 17.3, dengan peningkatan pemeriksaan keamanan pada WebKit. Pengguna disarankan untuk segera memperbarui perangkat untuk mencegah potensi eksploitasi. Selain itu, menggunakan browser non-WebKit, menonaktifkan JavaScript, menghindari situs mencurigakan, dan menggunakan perangkat lunak keamanan juga dapat mengatasi kerentanan ini. 

Produk Terancam

• iOS versi sebelum 16.7.5 dan antara 17.0 hingga sebelum 17.3.

• iPadOS versi sebelum 16.7.5 dan antara 17.0 hingga sebelum 17.3.

• macOS yang meliputi Monterey versi sebelum 12.7.3, Ventura versi antara 13.0 hingga sebelum 13.6.4, dan Sonoma versi antara 14.0 hingga sebelum 14.3.

• tvOS versi sebelum 17.3

Referensi Lanjutan, Solusi, dan Alat

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-23222
• https://vuldb.com/?id.251741
• https://blog.invgate.com/cve-2024-23222
• https://www.twingate.com/blog/tips/cve-2024-23222

• CVE-2024-23222_sign.pdf