Mengenai konten keamanan Pembaruan iPhone 1.1.1
Dokumen ini menjelaskan konten keamanan Pembaruan iPhone v1.1.1.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, lihat “Cara menggunakan Kunci PGP Keamanan Produk Apple”.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, lihat “Pembaruan Keamanan Apple”.
Pembaruan iPhone v1.1.1
Bluetooth
CVE-ID: CVE-2007-3753
Dampak: Penyerang dalam jangkauan Bluetooth dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.
Deskripsi: Masalah validasi input terjadi di server Bluetooth iPhone. Dengan mengirimkan paket Service Discovery Protocol (SDP) yang berbahaya ke iPhone yang mengaktifkan Bluetooth, penyerang dapat memicu masalah yang dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap paket SDP. Terima kasih kepada Kevin Mahaffey dan John Hering dari Flexilis Mobile Security karena telah melaporkan masalah ini.
CVE-ID: CVE-2007-3754
Dampak: Memeriksa email melalui jaringan yang tidak dipercaya dapat mengakibatkan pengungkapan informasi melalui serangan man-in-the-middle.
Deskripsi: Saat dikonfigurasi untuk menggunakan SSL untuk koneksi masuk dan keluar, Mail tidak memperingatkan pengguna saat identitas server email telah berubah atau tidak dapat dipercaya. Penyerang yang mampu mencegat koneksi mungkin dapat menyamar sebagai server email pengguna dan mendapatkan kredensial email pengguna atau informasi sensitif lainnya. Pembaruan ini mengatasi masalah tersebut dengan memberikan peringatan yang benar ketika identitas server email jarak jauh telah berubah.
CVE-ID: CVE-2007-3755
Dampak: Mengikuti tautan telepon (“tel:”) di Mail akan menghubungi nomor telepon tanpa konfirmasi.
Deskripsi: Mail mendukung tautan telepon (“tel:”) untuk menghubungi nomor telepon. Dengan memancing pengguna untuk mengikuti tautan telepon dalam pesan email, penyerang dapat menyebabkan iPhone melakukan panggilan tanpa konfirmasi pengguna. Pembaruan ini mengatasi masalah tersebut dengan menyediakan jendela konfirmasi sebelum menghubungi nomor telepon melalui tautan telepon di Mail. Terima kasih kepada Andi Baritchi dari McAfee yang telah melaporkan masalah ini.
Safari
CVE-ID: CVE-2007-3756
Dampak: Mengunjungi situs web berbahaya dapat menyebabkan terungkapnya konten URL.
Deskripsi: Masalah desain di Safari membuat halaman web dapat membaca URL yang sedang dilihat di jendela induknya. Dengan memancing pengguna untuk mengunjungi halaman web perusak yang berbahaya, penyerang mungkin bisa mendapatkan URL halaman yang tidak terkait. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan keamanan lintas domain yang ditingkatkan. Terima kasih kepada Michal Zalewski dari Google Inc. dan Secunia Research karena telah melaporkan masalah ini.
Safari
CVE-ID: CVE-2007-3757
Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan panggilan yang tidak diinginkan atau panggilan ke nomor yang berbeda dengan yang seharusnya.
Deskripsi: Safari mendukung tautan telepon (“tel:”) untuk menghubungi nomor telepon. Ketika tautan telepon dipilih, Safari akan mengonfirmasi bahwa nomor tersebut harus dihubungi. Tautan telepon perusak yang berbahaya dapat menyebabkan nomor yang ditampilkan selama konfirmasi berbeda dengan nomor yang sebenarnya dihubungi. Keluar dari Safari selama proses konfirmasi dapat mengakibatkan konfirmasi yang tidak disengaja. Pembaruan ini mengatasi masalah tersebut dengan menampilkan nomor yang akan dihubungi dengan benar, dan meminta konfirmasi untuk sambungan telepon. Terima kasih kepada Billy Hoffman dan Bryan Sullivan dari HP Security Labs (sebelumnya SPI Labs) dan Eduardo Tang karena telah melaporkan masalah ini.
Safari
CVE-ID: CVE-2007-3758
Dampak: Mengunjungi situs web berbahaya dapat mengakibatkan pembuatan skrip lintas situs.
Deskripsi: Terdapat kerentanan pembuatan skrip lintas situs di Safari yang memungkinkan situs web berbahaya mengatur properti jendela JavaScript situs web yang disajikan dari domain berbeda. Dengan memancing pengguna untuk mengunjungi situs web perusak yang berbahaya, penyerang dapat memicu masalah ini, sehingga mereka bisa mendapatkan atau mengatur status jendela dan lokasi halaman yang disajikan dari situs web lain. Pembaruan ini mengatasi masalah tersebut dengan menyediakan kontrol akses yang lebih baik pada properti ini. Terima kasih kepada Michal Zalewski dari Google Inc. yang telah melaporkan masalah ini.
Safari
CVE-ID: CVE-2007-3759
Dampak: Penonaktifan JavaScript tidak diterapkan hingga Safari dimulai ulang.
Deskripsi: Safari dapat dikonfigurasi untuk mengaktifkan atau menonaktifkan JavaScript. Preferensi ini tidak diterapkan hingga Safari dimulai ulang lagi. Ini biasanya terjadi ketika iPhone dimulai ulang. Hal ini dapat membuat pengguna mengira bahwa JavaScript dinonaktifkan padahal sebenarnya tidak. Pembaruan ini mengatasi masalah tersebut dengan menerapkan preferensi baru sebelum memuat halaman web baru.
Safari
CVE-ID: CVE-2007-3760
Dampak: Mengunjungi situs web berbahaya dapat mengakibatkan pembuatan skrip lintas situs.
Deskripsi: Masalah pembuatan skrip lintas situs di Safari memungkinkan situs web perusak yang berbahaya melewati kebijakan asal yang sama menggunakan tag “frame”. Dengan memancing pengguna untuk mengunjungi halaman web perusak yang berbahaya, penyerang dapat memicu masalah yang dapat mengakibatkan eksekusi JavaScript dalam konteks situs lain. Pembaruan ini mengatasi masalah tersebut dengan tidak mengizinkan JavaScript sebagai sumber “iframe” dan membatasi JavaScript dalam tag bingkai untuk akses yang sama dengan situs tempat konten tersebut disajikan. Terima kasih kepada Michal Zalewski dari Google Inc. dan Secunia Research karena telah melaporkan masalah ini.
Safari
CVE-ID: CVE-2007-3761
Dampak: Mengunjungi situs web berbahaya dapat mengakibatkan pembuatan skrip lintas situs.
Deskripsi: Masalah pembuatan skrip lintas situs di Safari memungkinkan peristiwa JavaScript dikaitkan dengan bingkai yang salah. Dengan memancing pengguna untuk mengunjungi halaman web perusak yang berbahaya, penyerang dapat menyebabkan eksekusi JavaScript dalam konteks situs lain. Pembaruan ini mengatasi masalah tersebut dengan mengaitkan peristiwa JavaScript ke bingkai sumber yang benar.
Safari
CVE-ID: CVE-2007-4671
Dampak: JavaScript di situs web dapat mengakses atau memanipulasi konten dokumen yang disajikan melalui HTTPS.
Deskripsi: Masalah di Safari menyebabkan konten yang disajikan melalui HTTP dapat mengubah atau mengakses konten yang disajikan melalui HTTPS di domain yang sama. Dengan memancing pengguna untuk mengunjungi halaman web perusak yang berbahaya, penyerang dapat menyebabkan eksekusi JavaScript dalam konteks halaman web HTTPS di domain itu. Pembaruan ini mengatasi masalah tersebut dengan membatasi akses antara eksekusi JavaScript dalam bingkai HTTP dan HTTPS. Terima kasih kepada Keigo Yamazaki dari LAC Co., Ltd. (Little eArth Corporation Co., Ltd.) karena telah melaporkan masalah ini.
Catatan instalasi:
Pembaruan ini hanya tersedia melalui iTunes dan tidak akan muncul di aplikasi Pembaruan Perangkat Lunak komputer Anda atau di situs Unduhan Apple. Pastikan Anda memiliki koneksi internet dan telah menginstal iTunes versi terbaru dari www.apple.com/id/itunes/.
iTunes akan secara otomatis memeriksa server pembaruan Apple pada jadwal mingguannya. Ketika pembaruan terdeteksi, iTunes akan mengunduhnya. Saat iPhone diletakkan di dock, iTunes akan menampilkan pilihan untuk menginstal pembaruan. Kami merekomendasikan untuk segera menerapkan pembaruan, jika memungkinkan. Memilih "Jangan instal" akan menampilkan pilihan tersebut saat berikutnya Anda menghubungkan iPhone.
Proses pembaruan otomatis mungkin memerlukan waktu hingga satu minggu, tergantung hari saat iTunes memeriksa pembaruan. Anda dapat memperoleh pembaruan secara manual melalui tombol “Periksa Pembaruan” di iTunes. Setelah Anda melakukannya, pembaruan dapat diterapkan saat iPhone terpasang ke komputer.
Untuk memeriksa apakah iPhone telah diperbarui:
Buka Pengaturan
Klik Umum
Klik Mengenai. Versi setelah menerapkan pembaruan ini adalah “1.1.1 (3A109a)”.