Mengenai konten keamanan iOS 8.1.3

Dokumen ini menjelaskan konten keamanan iOS 8.1.3

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.

iOS 8.1.3

  • AppleFileConduit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Perintah afc perusak yang berbahaya dapat mengizinkan akses ke bagian yang dilindungi dari sistem file

    Deskripsi: Kerentanan muncul pada mekanisme tautan simbolik afc. Masalah ini telah diatasi dengan menambahkan pemeriksaan jalur tambahan.

    CVE-ID

    CVE-2014-4480 : Tim TaiG Jailbreak

  • CoreGraphics

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Terjadi kelebihan bilangan bulat saat penanganan file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano dari Binamuse VRT, melalui iSIGHT Partners GVP Program

  • dyld

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode yang tidak ditandatangani

    Deskripsi: Masalah pengelolaan kondisi muncul saat menangani file eksekusi Mach-O dengan segmen yang tumpang tindih. Masalah ini telah diatasi melalui validasi ukuran segmen yang ditingkatkan.

    CVE-ID

    CVE-2014-4455 : Tim Jailbreak TaiG

  • FontParser

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4483 : Apple

  • FontParser

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Memproses file .dfont perusak yang berbahaya dapat menyebabkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Masalah kerusakan memori muncul saat menangani file .dfont. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah yang bekerja sama dengan Zero Day Initiative dari HP

  • Foundation

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Menampilkan file XML perusak yang berbahaya dapat menyebabkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Kelebihan buffer muncul di parser XML. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4485 : Apple

  • IOAcceleratorFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Dereferensi penunjuk null muncul saat IOAcceleratorFamily menangani daftar sumber daya. Masalah ini telah diatasi dengan menghapus kode yang tidak diperlukan.

    CVE-ID

    CVE-2014-4486 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kelebihan buffer muncul di IOHIDFamily. Masalah ini telah diatasi dengan validasi ukuran yang ditingkatkan.

    CVE-ID

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi muncul saat IOHIDFamily menangani metadata antrean sumber daya. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4488 : Apple

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Dereferensi penunjuk null muncul saat IOHIDFamily menangani antrean peristiwa. Masalah ini telah diatasi dengan validasi yang ditingkatkan

    CVE-ID

    CVE-2014-4489 : @beist

  • iTunes Store

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Situs web mungkin dapat melewati pembatasan sandbox menggunakan iTunes Store

    Deskripsi: Masalah muncul saat menangani URL yang dialihkan dari Safari ke iTunes Store yang memungkinkan situs web berbahaya melewati pembatasan sandbox Safari. Masalah ini telah diatasi dengan peningkatan pemfilteran URL yang dibuka oleh iTunes Store.

    CVE-ID

    CVE-2014-8840 : lokihardt@ASRT bekerja sama dengan Zero Day Initiative dari HP

  • Kerberos

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Pustaka libgssapi Kerberos mengembalikan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan meningkatkan manajemen status.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi iOS perusak yang berbahaya atau disusupi mungkin dapat menentukan alamat di kernel

    Deskripsi: Masalah pengungkapan informasi muncul saat menangani API yang berkaitan dengan ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini diatasi dengan tidak menggeser alamat sebelum mengembalikannya.

    CVE-ID

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah muncul di subsistem memori bersama kernel yang memungkinkan penyerang menulis ke memori yang dimaksudkan sebagai hanya-baca. Masalah ini telah diatasi dengan pemeriksaan yang lebih ketat terhadap izin memori bersama.

    CVE-ID

    CVE-2014-4495 : Ian Beer dari Google Project Zero

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi iOS perusak yang berbahaya atau disusupi mungkin dapat menentukan alamat di kernel

    Deskripsi: Antarmuka kernel mach_port_kobject membocorkan alamat kernel dan nilai permutasi heap, yang mungkin membantu melewati perlindungan pengacakan tata letak ruang alamat. Masalah ini telah diatasi dengan menonaktifkan antarmuka mach_port_kobject dalam konfigurasi produksi.

    CVE-ID

    CVE-2014-4496 : Tim TaiG Jailbreak

  • libnetcore

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi sandbox berbahaya dapat mengganggu daemon networkd

    Deskripsi: Beberapa masalah ketidakjelasan tipe muncul dalam penanganan komunikasi antarproses networkd. Dengan mengirimkan pesan dengan format berbahaya ke networkd, kode arbitrer dapat dieksekusi sebagai proses networkd. Masalah ini telah diatasi melalui pemeriksaan tipe tambahan.

    CVE-ID

    CVE-2014-4492 : Ian Beer dari Google Project Zero

  • MobileInstallation

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi bertanda perusahaan yang berbahaya mungkin dapat mengambil kendali kontainer lokal untuk aplikasi yang sudah ada di perangkat

    Deskripsi: Kerentanan muncul dalam proses instalasi aplikasi. Hal ini telah diatasi dengan mencegah aplikasi perusahaan menimpa aplikasi yang sudah ada dalam skenario tertentu.

    CVE-ID

    CVE-2014-4493 : Hui Xue dan Tao Wei dari FireEye, Inc.

  • Springboard

    Tersedia untuk: iPhone 4s dan lebih baru, iPod touch (generasi ke-5) dan lebih baru, iPad 2 dan lebih baru

    Dampak: Aplikasi bertanda perusahaan dapat diluncurkan tanpa meminta kepercayaan

    Deskripsi: Masalah muncul saat menentukan kapan harus meminta kepercayaan saat pertama kali membuka aplikasi bertanda perusahaan. Masalah ini telah diatasi melalui validasi tanda tangan kode yang ditingkatkan.

    CVE-ID

    CVE-2014-4494 : Song Jin, Hui Xue, dan Tao Wei dari FireEye, Inc.

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web yang menampilkan bingkai konten berbahaya dapat menyebabkan spoofing UI

    Deskripsi: Masalah spoofing UI muncul saat menangani batas bar gulir. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4467 : Jordan Milne

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Style sheet dimuat secara lintas sumber sehingga memungkinkan terjadinya eksfiltrasi data

    Deskripsi: SVG yang dimuat dalam elemen img bisa memuat file CSS lintas sumber. Masalah ini telah diatasi melalui pemblokiran yang ditingkatkan dari referensi CSS eksternal di SVG.

    CVE-ID

    CVE-2014-4465 : Rennie deGraaf dari iSEC Partners

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2014-3192 : cloudfuzzer

    CVE-2014-4459

    CVE-2014-4466 : Apple

    CVE-2014-4468 : Apple

    CVE-2014-4469 : Apple

    CVE-2014-4470 : Apple

    CVE-2014-4471 : Apple

    CVE-2014-4472 : Apple

    CVE-2014-4473 : Apple

    CVE-2014-4474 : Apple

    CVE-2014-4475 : Apple

    CVE-2014-4476 : Apple

    CVE-2014-4477 : lokihardt@ASRT yang bekerja sama dengan Zero Day Initiative dari HP

    CVE-2014-4479 : Apple

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: