Mengenai konten keamanan Pembaruan Perangkat Lunak iOS 4.3.2

Dokumen ini menjelaskan konten keamanan Pembaruan Perangkat Lunak iOS 4.3.2.

Dokumen ini menjelaskan konten keamanan Pembaruan Perangkat Lunak iOS 4.3.2 yang dapat diunduh dan diinstal menggunakan iTunes.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Perangkat Lunak iOS 4.3.2

  • Certificate Trust Policy

    Tersedia untuk: iOS 3.0 hingga 4.3.1 untuk iPhone 3GS dan versi lebih baru, iOS 3.1 hingga 4.3.1 untuk iPod touch (generasi ke-3) dan versi lebih baru, iOS 3.2 hingga 4.3.1 untuk iPad

    Dampak: Penyerang dengan posisi jaringan berhak istimewa dapat memintas kredensial atau informasi sensitif pengguna lainnya

    Deskripsi: Beberapa sertifikat SSL palsu diterbitkan oleh lembaga registrasi afiliasi Comodo. Penyerang perantara mungkin dapat memindahkan koneksi dan memintas kredensial atau informasi sensitif pengguna lainnya. Masalah ini diatasi dengan memasukkan sertifikat palsu ke dalam daftar hitam.

    Catatan: Untuk sistem Mac OS X, masalah ini diatasi dengan Pembaruan Keamanan 2011-002. Untuk Sistem Windows, Safari bergantung pada toko sertifikat dari sistem operasi host untuk menentukan apakah sertifikat server SSL dapat dipercaya. Dengan menerapkan pembaruan yang tercantum dalam Basis Pengetahuan Microsoft Artikel 2524375, Safari akan menganggap semua sertifikat tersebut sebagai tidak tepercaya. Artikel tersedia di http://support.microsoft.com/2524375

  • libxslt

    Tersedia untuk: iOS 3.0 hingga 4.3.1 untuk iPhone 3GS dan versi lebih baru, iOS 3.1 hingga 4.3.1 untuk iPod touch (generasi ke-3) dan versi lebih baru, iOS 3.2 hingga 4.3.1 untuk iPad

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan pengungkapan alamat di tumpukan

    Deskripsi: Ketika menerapkan fungsi generate-id() XPath, libxslt akan mengungkapkan alamat tumpukan buffer. Mengunjungi situs web yang berbahaya dapat menyebabkan pengungkapan alamat di tumpukan. Hal ini dapat memudahkan perlindungan pengacakan tata letak ruang pemintasan alamat. Masalah ini diatasi dengan membuat ID berdasarkan perbedaan antara alamat kedua tumpukan buffer.

    CVE-ID

    CVE-2011-0195 : Chris Evans dari Google Chrome Security Team

  • QuickLook

    Tersedia untuk: iOS 3.0 hingga 4.3.1 untuk iPhone 3GS dan versi lebih baru, iOS 3.1 hingga 4.3.1 untuk iPod touch (generasi ke-3) dan versi lebih baru, iOS 3.2 hingga 4.3.1 untuk iPad

    Dampak: Mengunduh file Microsoft Office yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori ketika QuickLook menangani file Microsoft Office. Mengunduh file Microsoft Office yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-1417: Charlie Miller dan Dion Blazakis bekerja sama dengan Zero Day Initiative dari TippingPoint

  • WebKit

    Tersedia untuk: iOS 3.0 hingga 4.3.1 untuk iPhone 3GS dan versi lebih baru, iOS 3.1 hingga 4.3.1 untuk iPod touch (generasi ke-3) dan versi lebih baru, iOS 3.2 hingga 4.3.1 untuk iPad

    Dampak: Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kelebihan bilangan bulat dalam penanganan nodeset. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, dan peneliti anonim yang bekerja sama dalam Zero Day Initiative dari TippingPoint

  • WebKit

    Tersedia untuk: iOS 3.0 hingga 4.3.1 untuk iPhone 3GS dan versi lebih baru, iOS 3.1 hingga 4.3.1 untuk iPod touch (generasi ke-3) dan versi lebih baru, iOS 3.2 hingga 4.3.1 untuk iPad

    Dampak: Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Penggunaan setelah terdapat masalah pembebasan dalam penanganan node teks. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-1344 : Vupen Security yang bekerja sama dengan Zero Day Initiative dari TippingPoint dan Martin Barbella

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: