Mengenai konten keamanan dalam Pembaruan iPhone v1.0.1
Dokumen ini menjelaskan konten keamanan dalam Pembaruan iPhone v1.0.1, yang dapat diunduh dan diinstal lewat iTunes sebagaimana dijelaskan di bawah.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan patch atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple".
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
Pembaruan iPhone v1.0.1
Safari
CVE-ID: CVE-2007-2400
Tersedia untuk: iPhone v1.0
Dampak: Mengunjungi situs web berbahaya dapat memungkinkan terjadinya eksekusi kode lintas situs.
Deskripsi: Model keamanan Safari mencegah JavaScript di halaman web jarak jauh untuk memodifikasi halaman di luar domainnya. Kondisi perebutan untuk memperbarui halaman dan ditambah dengan pengalihan HTTP dapat membuat JavaScript dari satu halaman memodifikasi halaman yang dialihkan. Kondisi ini dapat memungkinkan cookie dan halaman untuk dibaca atau dimodifikasi secara arbitrer. Pembaruan ini mengatasi masalah tersebut dengan memperbaiki kendali akses atas properti jendela. Terima kasih kepada Lawrence Lai, Stan Switzer, dan Ed Rowe dari Adobe Systems, Inc. karena sudah melaporkan masalah ini.
Safari
CVE-ID: CVE-2007-3944
Tersedia untuk: iPhone v1.0
Dampak: Menampilkan halaman web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer.
Deskripsi: Terdapat heap buffer overflow dalam perpustakaan Perl Compatible Regular Expressions (PCRE) yang digunakan oleh mesin JavaScript di Safari. Dengan memancing pengguna untuk mengunjungi halaman web perusak yang berbahaya, penyerang dapat memicu masalah, yang dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan menjalankan validasi tambahan dari ekspresi reguler JavaScript. Terima kasih kepada Charlie Miller dan Jake Honoroff dari Independent Security Evaluators karena sudah melaporkan masalah ini.
WebCore
CVE-ID: CVE-2007-2401
Tersedia untuk: iPhone v1.0
Dampak: Mengunjungi situs web berbahaya dapat memungkinkan masuknya permintaan lintas situs.
Deskripsi: Terdapat masalah injeksi HTTP dalam XMLHttpRequest saat serialisasi header menjadi permintaan HTTP. Dengan memancing pengguna untuk mengunjungi halaman web perusak yang berbahaya, penyerang dapat memicu masalah penjalanan kode lintas situs. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap parameter header. Terima kasih kepada Richard Moore dari Westpoint Ltd. karena sudah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2007-3742
Tersedia untuk: iPhone v1.0
Dampak: Karakter yang serupa dalam suatu URL dapat digunakan untuk meniru sebuah situs web.
Deskripsi: Dukungan International Domain Name (IDN) dan font Unicode yang terdapat dalam Safari dapat digunakan untuk membuat URL yang memuat karakter serupa. Hal ini bisa digunakan oleh situs web berbahaya untuk mengarahkan pengguna ke situs palsu yang mirip dengan domain yang sah. Pembaruan ini mengatasi masalah tersebut melalui perbaikan pemeriksaan validitas nama domain. Terima kasih kepada Tomohito Yoshino dari Business Architects Inc. karena sudah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2007-2399
Tersedia untuk: iPhone v1.0
Dampak: Mengunjungi situs web perusak yang berbahaya dapat membuat aplikasi terhenti secara tiba-tiba atau mengakibatkan eksekusi kode arbitrer.
Deskripsi: Jenis konversi yang tidak valid saat menampilkan set bingkai dapat mengakibatkan kerusakan memori. Mengunjungi halaman web perusak yang berbahaya dapat membuat aplikasi terhenti secara tiba-tiba atau mengakibatkan eksekusi kode arbitrer. Terima kasih kepada Rhys Kidd dari Westnet karena sudah melaporkan masalah ini.
Catatan penginstalan
Pembaruan ini hanya tersedia melalui iTunes dan tidak akan muncul pada aplikasi Pembaruan Perangkat Lunak komputer Anda atau pada situs Unduhan Dukungan Apple. Pastikan Anda memiliki koneksi Internet dan sudah menginstal iTunes versi terbaru dari (www.apple.com/itunes).
iTunes secara otomatis memeriksa server pembaruan Apple pada jadwal mingguannya. Saat mendeteksi pembaruan, iTunes akan mengunduhnya. Saat iPhone terhubung dengan dok, iTunes akan menampilkan pilihan kepada pengguna untuk menginstal pembaruan tersebut. Kami menganjurkan untuk langsung menerapkan pembaruan itu jika memungkinkan. Memilih "jangan instal" akan menampilkan pilihan ini lagi ketika Anda menghubungkan iPhone pada kali berikutnya. Proses pembaruan otomatis dapat berlangsung hingga satu minggu. Hal ini bergantung pada hari iTunes memeriksa pembaruan.
Anda dapat memperoleh pembaruan secara manual melalui tombol "Periksa Pembaruan" atau menu pilihan di iTunes. Setelah melakukannya, pembaruan dapat diterapkan saat iPhone tersambung ke dok komputer.
Untuk memeriksa apakah iPhone telah diperbarui:
Buka Pengaturan pada iPhone.
Klik Umum.
Klik Mengenai. Versi setelah menerapkan pembaruan ini adalah "1.0.1 (1C25)".