Tentang konten keamanan iOS 9
Dokumen ini menjelaskan tentang konten keamanan iOS 9.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
iOS 9
Apple Pay
Tersedia untuk: iPhone 6 dan iPhone 6 Plus
Dampak: Beberapa kartu memungkinkan terminal mengambil informasi transaksi terbatas yang terbaru saat melakukan pembayaran
Deskripsi: Fungsionalitas log transaksi diaktifkan dalam konfigurasi tertentu. Masalah ini telah diatasi dengan menghapus fungsionalitas log transaksi. Masalah ini tidak memengaruhi perangkat iPad.
CVE-ID
CVE-2015-5916
AppleKeyStore
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang lokal dapat mengatur ulang percobaan kode sandi yang gagal dengan cadangan iOS
Deskripsi: Masalah terjadi saat mengatur ulang percobaan kode sandi yang gagal dengan cadangan perangkat iOS. Masalah ini telah diatasi melalui logik kegagalan kode sandi yang lebih baik.
CVE-ID
CVE-2015-5850 : peneliti anonim
Application Store
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengeklik tautan ITMS yang berbahaya dapat mengakibatkan penolakan layanan di aplikasi bertanda perusahaan
Deskripsi: Masalah terjadi pada penginstalan melalui tautan ITMS. Masalah ini telah diatasi melalui verifikasi penginstalan tambahan.
CVE-ID
CVE-2015-5856 : Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
Audio
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Masalah kerusakan memori terjadi saat menangani file audio. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5862 : YoungJin Yoon dari Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pembaruan kebijakan kepercayaan sertifikat
Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di https://support.apple.com/id-id/HT204132.
CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: URL perusak yang berbahaya dapat melewati HTTP Strict Transport Security (HSTS) dan membocorkan data rahasia
Deskripsi: Kerentanan penguraian URL terjadi saat menangani HSTS. Masalah ini telah diatasi melalui penguraian URL yang lebih baik.
CVE-ID
CVE-2015-5858 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Situs web yang berbahaya dapat melacak pengguna dalam mode penelusuran pribadi Safari
Deskripsi: Masalah terjadi saat menangani status HSTS dalam mode penelusuran pribadi Safari. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.
CVE-ID
CVE-2015-5860 : Sam Greenhalgh dari RadicalResearch Ltd
CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seseorang yang memiliki akses fisik ke perangkat iOS dapat membaca data cache dari app Apple
Deskripsi: Data cache dienkripsi dengan kunci yang hanya dilindungi oleh UID perangkat keras. Masalah ini telah diatasi dengan mengenkripsikan data cache dengan kunci yang dilindungi oleh UID perangkat keras dan kode sandi pengguna.
CVE-ID
CVE-2015-5898 : Andreas Kurtz dari NESO Security Labs
Cookie CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat melacak aktivitas pengguna
Deskripsi: Masalah cookie lintas domain terjadi saat menangani domain tingkat atas. Masalah ini telah diatasi melalui pembatasan pembuatan cookie yang lebih baik.
CVE-ID
CVE-2015-5885 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
Cookie CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dapat membuat cookie yang tidak diinginkan untuk situs web
Deskripsi: WebKit akan menerima beberapa cookie untuk ditetapkan di API document.cookie. Masalah ini telah diatasi melalui penguraian yang lebih baik.
CVE-ID
CVE-2015-3801 : Erling Ellingsen dari Facebook
CFNetwork FTPProtocol
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Server FTP yang berbahaya dapat menyebabkan klien melakukan pengintaian pada host lainnya
Deskripsi: Masalah terjadi saat menangani paket FTP menggunakan perintah PASV. Masalah ini telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2015-5912 : Amit Klein
CFNetwork HTTPProtocol
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas lalu lintas jaringan
Deskripsi: Masalah terjadi saat menangani entri daftar pramuat HSTS dalam mode penelusuran pribadi Safari. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.
CVE-ID
CVE-2015-5859 : Rosario Giustolisi dari University of Luxembourg
Proxy CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Terhubung ke proxy web berbahaya dapat menghasilkan cookie yang berbahaya untuk situs web
Deskripsi: Masalah terjadi saat menangani respons sambungan proxy. Masalah ini telah diatasi dengan menghapus header set-cookie saat menguraikan respons sambungan.
CVE-ID
CVE-2015-5841 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork SSL
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS
Deskripsi: Masalah validasi sertifikat terjadi di NSURL saat sertifikat diubah. Masalah ini telah diatasi melalui validasi sertifikat yang lebih baik.
CVE-ID
CVE-2015-5824 : Timothy J. Wood dari The Omni Group
CFNetwork SSL
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL
Deskripsi: Terjadi serangan yang diketahui terhadap kerahasiaan RC4. Penyerang dapat memaksa penggunaan RC4, bahkan jika server cenderung memilih cipher yang lebih baik, dengan memblokir TLS 1.0 dan koneksi yang lebih tinggi sampai CFNetwork mencoba SSL 3.0, yang hanya mengizinkan RC4. Masalah ini telah diatasi dengan menghapus pengembalian ke SSL 3.0.
CoreAnimation
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat membocorkan informasi rahasia pengguna
Deskripsi: Aplikasi dapat mengakses framebuffer layar saat berada di latar belakang. Masalah ini telah diatasi dengan peningkatan kontrol akses pada IOSurfaces.
CVE-ID
CVE-2015-5880 : Jin Han, Su Mon Kywe, Qiang Yan, Robert Deng, Debin Gao, Yingjiu Li dari School of Information Systems Singapore Management University, Feng Bao dan Jianying Zhou dari Cryptography and Security Department Institute for Infocomm Research
CoreCrypto
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dapat menentukan kunci pribadi
Deskripsi: Dengan mengamati banyak upaya penandatanganan atau dekripsi, penyerang dapat menentukan kunci pribadi RSA. Masalah ini telah diatasi dengan menggunakan algoritma enkripsi yang lebih baik.
CoreText
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat memproses file font. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat memproses file teks. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2015-5829 : M1x7e1 of Safeye Team (www.safeye.org)
Dev Tools
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di dyld. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5876 : beist dari grayhash
Gambar Disk
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di DiskImages. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi mungkin dapat memintas penandatanganan kode
Deskripsi: Masalah terjadi pada validasi tanda tangan kode dari file yang dapat dijalankan. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team
Game Center
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi Game Center yang berbahaya dapat mengakses alamat email pemain
Deskripsi: Masalah terjadi di Game Center saat menangani email pemain. Masalah ini telah diatasi melalui pembatasan akses yang lebih baik.
CVE-ID
CVE-2015-5855 : Nasser Alnasser
ICU
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Beberapa kerentanan di ICU
Deskripsi: Beberapa kerentanan muncul di versi ICU sebelum 53.1.0. Masalah ini telah diatasi dengan memperbarui ICU ke versi 55.1.
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand dari Google Project Zero
IOAcceleratorFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Deskripsi: Masalah muncul yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-5834 : Cererdlong dari Alibaba Mobile Security Team
IOAcceleratorFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: masalah kerusakan memori terjadi di IOAcceleratorFamily. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5848 : Filippo Bigarella
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di IOHIDFamily. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5867 : moony li dari Trend Micro
IOKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5844 : Filippo Bigarella
CVE-2015-5845 : Filippo Bigarella
CVE-2015-5846 : Filippo Bigarella
IOMobileFrameBuffer
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di IOMobileFrameBuffer. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5843 : Filippo Bigarella
IOStorageFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang lokal dapat membaca memori kernel
Deskripsi: Masalah inisialisasi memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5863 : Ilja van Sprundel dari IOActive
iTunes Store
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengesahan ID Apple dapat bertahan di rantai kunci setelah keluar
Deskripsi: Masalah muncul di penghapusan rantai kunci. Masalah ini telah diatasi melalui penghapusan akun yang lebih baik.
CVE-ID
CVE-2015-5832 : Kasif Dekel dari Check Point Software Technologies
JavaScriptCore
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5791 : Apple
CVE-2015-5793 : Apple
CVE-2015-5814 : Apple
CVE-2015-5816 : Apple
CVE-2015-5822 : Mark S. Miller dari Google
CVE-2015-5823 : Apple
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5868 : Cererdlong dari Alibaba Mobile Security Team
CVE-2015-5896 : Maxime Villard dari m00nbsd
CVE-2015-5903 : CESG
Entri diperbarui 21 Desember 2016
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang lokal dapat mengontrol nilai cookie tumpukan
Deskripsi: Beberapa kerentanan muncul di pembuatan cookie tumpukan ruang pengguna. Masalah ini telah diatasi melalui pembuatan cookie tumpukan yang lebih baik.
CVE-ID
CVE-2013-3951 : Stefan Esser
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Proses lokal dapat memodifikasi proses lainnya tanpa pemeriksaan hak yang sah
Deskripsi: Masalah terjadi saat proses dasar yang menggunakan API processor_set_tasks diizinkan untuk mengambil port tugas dari proses lainnya. Masalah ini telah diatasi melalui pemeriksaan hak tambahan yang sah.
CVE-ID
CVE-2015-5882 : Pedro Vilaça, yang bekerja berdasarkan riset asli oleh Ming-chieh Pan dan Sung-ting Tsai; Jonathan Levin
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dapat melancarkan serangan penolakan layanan pada koneksi TCP yang ditargetkan tanpa mengetahui nomor urutan yang benar
Deskripsi: Masalah muncul di validasi xnu pada header paket TCP. Masalah ini telah diatasi melalui validasi header paket TCP yang lebih baik.
CVE-ID
CVE-2015-5879 : Jonathan Looney
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di segmen LAN lokal dapat menonaktifkan perutean IPv6
Deskripsi: Masalah validasi yang tidak cukup terjadi saat menangani iklan router IPv6 yang memungkinkan penyerang mengatur batas hop ke nilai arbitrer. Masalah ini telah diatasi dengan menerapkan batas hop minimum.
CVE-ID
CVE-2015-5869 : Dennis Spindel Ljungmark
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah muncul di XNU yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui inisialisasi struktur memori kernel yang lebih baik.
CVE-ID
CVE-2015-5842 : beist dari grayhash
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Masalah muncul di pemasangan drive HFS Masalah ini telah diatasi dengan pemeriksaan validasi tambahan.
CVE-ID
CVE-2015-5748 : Maxime Villard dari m00nbsd
libc
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer.
Deskripsi: Masalah kerusakan memori terjadi di fungsi fflush. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2014-8611 : Adrian Chadd dan Alfred Perlstein dari Norse Corporation
libpthread
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5899 : Lufeng Li dari Qihoo 360 Vulcan Team
Mail
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dapat mengirimkan email yang tampak berasal dari kontak di buku alamat penerima
Deskripsi: Masalah terjadi saat menangani alamat pengirim. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-ID
CVE-2015-5857 : Emre Saglam dari salesforce.com
Konektivitas Multipasangan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang lokal dapat mengamati data multipasangan yang tidak dilindungi
Deskripsi: Masalah terjadi saat menangani penginisialisasi yang praktis ketika enkripsi dapat diturunkan secara aktif ke sesi non enkripsi. Masalah ini telah diatasi dengan mengubah penginisialisasi yang praktis agar membutuhkan enkripsi.
CVE-ID
CVE-2015-5851 : Alban Diquet (@nabla_c0d3) dari Data Theorem
NetworkExtension
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Deskripsi: Masalah memori yang tidak diinisialisasi di kernel mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori.
CVE-ID
CVE-2015-5831 : Maxime Villard dari m00nbsd
OpenSSL
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Beberapa kerentanan di OpenSSL
Deskripsi: Masalah kerentanan muncul di OpenSSL versi sebelum 0.9.8zg. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
PluginKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusahaan yang berbahaya dapat menginstal ekstensi sebelum aplikasi tersebut dipercaya
Deskripsi: Masalah muncul di validasi ekstensi selama penginstalan. Masalah ini telah diatasi melalui verifikasi app yang lebih baik.
CVE-ID
CVE-2015-5837 : Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
removefile
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses data yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Kesalahan kelebihan muncul di rutin divisi checkint. Masalah ini telah diatasi dengan rutin divisi yang lebih baik.
CVE-ID
CVE-2015-5840 : peneliti anonim
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat membaca penanda Safari di perangkat iOS yang terkunci tanpa kode sandi
Deskripsi: Data penanda Safari dienkripsi dengan kunci yang hanya dilindungi oleh UID perangkat keras. Masalah ini telah diatasi dengan mengenkripsikan data penanda Safari dengan kunci yang dilindungi oleh UID perangkat keras dan kode sandi pengguna.
CVE-ID
CVE-2015-7118 : Jonathan Zdziarski
Entri diperbarui 21 Desember 2016
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Suatu masalah mungkin telah mengizinkan situs web menampilkan konten dengan URL dari situs web lain. Masalah ini telah diatasi melalui penanganan URL yang lebih baik.
CVE-ID
CVE-2015-5904 : Erling Ellingsen dari Facebook, Łukasz Pilorz
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Menavigasi ke situs web yang berbahaya dengan pembuka jendela yang cacat dapat menampilkan URL arbitrer. Masalah ini telah diatasi melalui penanganan pembuka jendela yang lebih baik.
CVE-ID
CVE-2015-5905 : Keita Haga dari keitahaga.com
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna dapat dilacak oleh situs web yang berbahaya menggunakan sertifikat klien
Deskripsi: Masalah yang muncul dalam pencocokan sertifikat klien Safari untuk pengesahan SSL. Masalah ini telah diatasi melalui peningkatan pencocokan sertifikat klien yang sah.
CVE-ID
CVE-2015-1129 : Stefan Kraus dari fluid Operations AG, Sylvain Munaut dari Whatever s.a.
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Beberapa ketidakkonsistenan antarmuka pengguna dapat memungkinkan situs web yang berbahaya menampilkan URL arbitrer. Masalah ini telah diatasi melalui logik tampilan URL yang lebih baik.
CVE-ID
CVE-2015-5764 : Antonio Sanso (@asanso) dari Adobe
CVE-2015-5765 : Ron Masas
CVE-2015-5767 : Krystian Kloskowski melalui Secunia, Masato Kinugawa
Penelusuran Aman Safari
iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menavigasi ke alamat IP situs web yang diketahui berbahaya mungkin tidak memicu peringatan keamanan
Deskripsi: Fitur Penelusuran Aman Safari tidak memperingatkan pengguna saat mengunjungi situs web yang diketahui berbahaya oleh alamat IP. Masalah ini telah diatasi melalui deteksi situs berbahaya yang lebih baik.
Rahul M dari TagsDock
Security
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App yang berbahaya dapat mengganggu komunikasi di antara app
Deskripsi: Masalah muncul yang memungkinkan app yang berbahaya mengganggu komunikasi skema URL di antara app. Masalah ini dikurangi dengan menampilkan dialog saat skema URL digunakan untuk pertama kalinya.
CVE-ID
CVE-2015-5835 : Teun van Run dari FiftyTwoDegreesNorth B.V.; XiaoFeng Wang dari Indiana University, Luyi Xing dari Indiana University, Tongxin Li dari Peking University, Xiaolong Bai dari Tsinghua University
Siri
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seseorang yang memiliki akses fisik ke perangkat iOS dapat menggunakan Siri untuk membaca pemberitahuan konten yang diatur agar tidak ditampilkan di layar terkunci
Deskripsi: Ketika permintaan dilakukan ke Siri, pembatasan dari sisi klien tidak diperiksa server. Masalah ini telah diatasi dengan pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-5892 : Robert S Mozayeni, Joshua Donvito
SpringBoard
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seseorang dengan akses fisik ke perangkat iOS dapat membalas pesan audio dari layar terkunci saat pratinjau pesan dari layar terkunci dinonaktifkan
Deskripsi: Masalah layar terkunci memungkinkan pengguna membalas pesan audio saat pratinjau pesan dinonaktifkan. Masalah ini telah diatasi melalui pengelolaan kondisi yang lebih baik.
CVE-ID
CVE-2015-5861 : Daniel Miedema dari Meridian Apps
SpringBoard
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat menipu jendela dialog aplikasi lain
Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.
CVE-ID
CVE-2015-5838 : Min (Spark) Zheng, Hui Xue, Tao (Lenx) Wei, John C.S. Lui
SQLite
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Beberapa kerentanan di SQLite v3.8.5
Deskripsi: Beberapa kerentanan muncul di SQLite v3.8.5. Masalah ini telah diatasi dengan memperbarui SQLite ke versi 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi di Tidy. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5522 : Fernando Muñoz dari NULLGroup.com
CVE-2015-5523 : Fernando Muñoz dari NULLGroup.com
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Referensi objek dapat dibocorkan di antara sumber terisolasi pada acara khusus, acara pesan, dan acara status pop
Deskripsi: Masalah kebocoran objek menghancurkan batas isolasi di antara sumber. Masalah ini telah diatasi melalui peningkatan isolasi di antara sumber.
CVE-ID
CVE-2015-5827 : Gildas
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5789 : Apple
CVE-2015-5790 : Apple
CVE-2015-5792 : Apple
CVE-2015-5794 : Apple
CVE-2015-5795 : Apple
CVE-2015-5796 : Apple
CVE-2015-5797 : Apple
CVE-2015-5799 : Apple
CVE-2015-5800 : Apple
CVE-2015-5801 : Apple
CVE-2015-5802 : Apple
CVE-2015-5803 : Apple
CVE-2015-5804 : Apple
CVE-2015-5805
CVE-2015-5806 : Apple
CVE-2015-5807 : Apple
CVE-2015-5809 : Apple
CVE-2015-5810 : Apple
CVE-2015-5811 : Apple
CVE-2015-5812 : Apple
CVE-2015-5813 : Apple
CVE-2015-5817 : Apple
CVE-2015-5818 : Apple
CVE-2015-5819 : Apple
CVE-2015-5821 : Apple
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan panggilan yang tidak disengaja
Deskripsi: Masalah terjadi saat menangani URL tel://, facetime://, dan facetime-audio://. Masalah ini telah diatasi melalui penanganan URL yang lebih baik.
CVE-ID
CVE-2015-5820 : Andrei Neculaesei, Guillaume Ross
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: QuickType dapat mengetahui karakter terakhir pada sandi dalam formulir web yang diisi
Deskripsi: Masalah terjadi di WebKit saat menangani konteks input sandi. Masalah ini telah diatasi melalui penanganan konteks input yang lebih baik.
CVE-ID
CVE-2015-5906 : Louis Romero dari Google Inc.
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengalihkan ke domain yang berbahaya
Deskripsi: Masalah terjadi saat menangani cache sumber daya pada situs dengan sertifikat yang tidak sah. Masalah ini telah diatasi dengan menolak cache aplikasi dari domain dengan sertifikat yang tidak sah.
CVE-ID
CVE-2015-5907 : Yaoqi Jia dari National University of Singapore (NUS)
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Situs web yang berbahaya dapat menarik data lintas sumber
Deskripsi: Safari memungkinkan lembar gaya lintas sumber untuk dimuat dengan jenis MIME tanpa CSS yang dapat digunakan untuk pencurian data lintas sumber. Masalah ini telah diatasi dengan membatasi jenis MIME untuk lembar gaya lintas sumber.
CVE-ID
CVE-2015-5826 : filedescriptor, Chris Evans
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: API Kinerja dapat memungkinkan situs web berbahaya membocorkan riwayat penelusuran, aktivitas jaringan, dan pergerakan mouse
Deskripsi: API Kinerja WebKit dapat memungkinkan situs web berbahaya membocorkan riwayat penelusuran, aktivitas jaringan, dan pergerakan mouse dengan mengukur waktu. Masalah ini telah diatasi dengan membatasi resolusi waktu.
CVE-ID
CVE-2015-5825 : Yossi Oren dkk. dari Network Security Lab di Columbia University
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah muncul di header Content-Disposition yang berisi lampiran jenis. Masalah ini telah diatasi dengan tidak mengizinkan beberapa fungsionalitas untuk laman lampiran jenis.
CVE-ID
CVE-2015-5921 : Mickey Shkatov dari Intel(r) Advanced Threat Research Team, Daoyuan Wu dari Singapore Management University, Rocky K. C. Chang dari Hong Kong Polytechnic University, Łukasz Pilorz, superhei dari www.knownsec.com
Kanvas WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web yang berbahaya dapat mengungkapkan data gambar dari situs web lain
Deskripsi: Masalah lintas sumber muncul pada gambar elemen "kanvas" di WebKit. Masalah ini telah diatasi melalui pelacakan sumber keamanan yang lebih baik.
CVE-ID
CVE-2015-5788 : Apple
Pemuatan Halaman WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: WebSockets dapat melewati penerapan kebijakan konten campuran
Deskripsi: Masalah penerapan kebijakan konten yang tidak cukup memungkinkan WebSockets memuat konten campuran. Masalah ini telah diatasi dengan memperluas penerapan kebijakan konten campuran ke WebSockets.
Kevin G. Jones of Higher Logic
FaceTime tidak tersedia di semua negara atau wilayah.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.