Mengenai konten keamanan iOS 8.1.3
Dokumen ini menjelaskan konten keamanan iOS 8.1.3
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.
iOS 8.1.3
AppleFileConduit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Perintah afc perusak yang berbahaya dapat mengizinkan akses ke bagian yang dilindungi dari sistem file
Deskripsi: Kerentanan muncul pada mekanisme tautan simbolik afc. Masalah ini telah diatasi dengan menambahkan pemeriksaan jalur tambahan.
CVE-ID
CVE-2014-4480 : Tim TaiG Jailbreak
CoreGraphics
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan
Deskripsi: Terjadi kelebihan bilangan bulat saat penanganan file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano dari Binamuse VRT, melalui iSIGHT Partners GVP Program
dyld
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode yang tidak ditandatangani
Deskripsi: Masalah pengelolaan kondisi muncul saat menangani file eksekusi Mach-O dengan segmen yang tumpang tindih. Masalah ini telah diatasi melalui validasi ukuran segmen yang ditingkatkan.
CVE-ID
CVE-2014-4455 : Tim Jailbreak TaiG
FontParser
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan
Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4483 : Apple
FontParser
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file .dfont perusak yang berbahaya dapat menyebabkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan
Deskripsi: Masalah kerusakan memori muncul saat menangani file .dfont. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4484 : Gaurav Baruah yang bekerja sama dengan Zero Day Initiative dari HP
Foundation
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menampilkan file XML perusak yang berbahaya dapat menyebabkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan
Deskripsi: Kelebihan buffer muncul di parser XML. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4485 : Apple
IOAcceleratorFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk null muncul saat IOAcceleratorFamily menangani daftar sumber daya. Masalah ini telah diatasi dengan menghapus kode yang tidak diperlukan.
CVE-ID
CVE-2014-4486 : Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan buffer muncul di IOHIDFamily. Masalah ini telah diatasi dengan validasi ukuran yang ditingkatkan.
CVE-ID
CVE-2014-4487 : TaiG Jailbreak Team
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah validasi muncul saat IOHIDFamily menangani metadata antrean sumber daya. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.
CVE-ID
CVE-2014-4488 : Apple
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk null muncul saat IOHIDFamily menangani antrean peristiwa. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-ID
CVE-2014-4489 : @beist
iTunes Store
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Situs web mungkin dapat melewati pembatasan sandbox menggunakan iTunes Store
Deskripsi: Masalah muncul saat menangani URL yang dialihkan dari Safari ke iTunes Store yang memungkinkan situs web berbahaya melewati pembatasan sandbox Safari. Masalah ini telah diatasi dengan peningkatan pemfilteran URL yang dibuka oleh iTunes Store.
CVE-ID
CVE-2014-8840 : lokihardt@ASRT bekerja sama dengan Zero Day Initiative dari HP
Kerberos
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Pustaka libgssapi Kerberos mengembalikan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan meningkatkan manajemen status.
CVE-ID
CVE-2014-5352
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi iOS perusak yang berbahaya atau disusupi mungkin dapat menentukan alamat di kernel
Deskripsi: Masalah pengungkapan informasi muncul saat menangani API yang berkaitan dengan ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini diatasi dengan tidak menggeser alamat sebelum mengembalikannya.
CVE-ID
CVE-2014-4491 : @PanguTeam, Stefan Esser
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah muncul di subsistem memori bersama kernel yang memungkinkan penyerang menulis ke memori yang dimaksudkan sebagai hanya-baca. Masalah ini telah diatasi dengan pemeriksaan yang lebih ketat terhadap izin memori bersama.
CVE-ID
CVE-2014-4495 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi iOS perusak yang berbahaya atau disusupi mungkin dapat menentukan alamat di kernel
Deskripsi: Antarmuka kernel mach_port_kobject membocorkan alamat kernel dan nilai permutasi heap, yang mungkin membantu melewati perlindungan pengacakan tata letak ruang alamat. Masalah ini telah diatasi dengan menonaktifkan antarmuka mach_port_kobject dalam konfigurasi produksi.
CVE-ID
CVE-2014-4496 : Tim TaiG Jailbreak
libnetcore
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi sandbox berbahaya dapat mengganggu daemon networkd
Deskripsi: Beberapa masalah ketidakjelasan tipe muncul dalam penanganan komunikasi antarproses networkd. Dengan mengirimkan pesan dengan format berbahaya ke networkd, kode arbitrer dapat dieksekusi sebagai proses networkd. Masalah ini telah diatasi melalui pemeriksaan tipe tambahan.
CVE-ID
CVE-2014-4492 : Ian Beer dari Google Project Zero
MobileInstallation
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi bertanda perusahaan yang berbahaya mungkin dapat mengambil kendali kontainer lokal untuk aplikasi yang sudah ada di perangkat
Deskripsi: Kerentanan muncul dalam proses instalasi aplikasi. Hal ini telah diatasi dengan mencegah aplikasi perusahaan menimpa aplikasi yang sudah ada dalam skenario tertentu.
CVE-ID
CVE-2014-4493 : Hui Xue dan Tao Wei dari FireEye, Inc.
Springboard
Tersedia untuk: iPhone 4s dan lebih baru, iPod touch (generasi ke-5) dan lebih baru, iPad 2 dan lebih baru
Dampak: Aplikasi bertanda perusahaan dapat diluncurkan tanpa meminta kepercayaan
Deskripsi: Masalah muncul saat menentukan kapan harus meminta kepercayaan saat pertama kali membuka aplikasi bertanda perusahaan. Masalah ini telah diatasi melalui validasi tanda tangan kode yang ditingkatkan.
CVE-ID
CVE-2014-4494 : Song Jin, Hui Xue, dan Tao Wei dari FireEye, Inc.
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web yang menampilkan bingkai konten berbahaya dapat menyebabkan spoofing UI
Deskripsi: Masalah spoofing UI muncul saat menangani batas bar gulir. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4467 : Jordan Milne
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Style sheet dimuat secara lintas sumber sehingga memungkinkan terjadinya eksfiltrasi data
Deskripsi: SVG yang dimuat dalam elemen img bisa memuat file CSS lintas sumber. Masalah ini telah diatasi melalui pemblokiran yang ditingkatkan dari referensi CSS eksternal di SVG.
CVE-ID
CVE-2014-4465 : Rennie deGraaf dari iSEC Partners
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan
Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2014-3192 : cloudfuzzer
CVE-2014-4459
CVE-2014-4466 : Apple
CVE-2014-4468 : Apple
CVE-2014-4469 : Apple
CVE-2014-4470 : Apple
CVE-2014-4471 : Apple
CVE-2014-4472 : Apple
CVE-2014-4473 : Apple
CVE-2014-4474 : Apple
CVE-2014-4475 : Apple
CVE-2014-4476 : Apple
CVE-2014-4477 : lokihardt@ASRT yang bekerja sama dengan Zero Day Initiative dari HP
CVE-2014-4479 : Apple
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.