Mengenai konten keamanan iOS 7
Dokumen ini menjelaskan konten keamanan iOS 7.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.
iOS 7
Certificate Trust Policy
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Sertifikat root telah diperbarui
Deskripsi: Sejumlah sertifikat ditambahkan atau dihapus dari daftar root sistem.
CoreGraphics
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Luapan buffer terjadi saat menangani data yang dikodekan dengan JBIG2 dalam file PDF. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2013-1025: Felix Groebert dari Tim Keamanan Google
CoreMedia
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Memutar file film perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Luapan buffer terjadi saat menangani file film yang dikodekan dengan Sorenson. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2013-1019: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) yang bekerja sama dengan Zero Day Initiative dari HP
Data Protection
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: App dapat melewati batasan upaya memasukkan kode sandi
Deskripsi: Terdapat masalah pemisahan hak istimewa di Perlindungan Data. App dalam sandbox pihak ketiga dapat berulang kali mencoba menentukan kode sandi pengguna terlepas dari pengaturan “Hapus Data” pengguna. Masalah ini telah diatasi dengan mewajibkan pemeriksaan hak tambahan.
CVE-ID
CVE-2013-0957: Jin Han dari Institute for Infocomm Research yang bekerja sama dengan Qiang Yan dan Su Mon Kywe dari Singapore Management University
Data Security
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mencegat kredensial pengguna atau informasi rahasia lainnya
Deskripsi: TrustWave, yang merupakan root CA tepercaya, telah menerbitkan dan selanjutnya mencabut sertifikat sub-CA dari salah satu anchor tepercayanya. Sub-CA ini memfasilitasi pencegatan komunikasi yang diamankan oleh Transport Layer Security (TLS). Pembaruan ini menambahkan sertifikat sub-CA yang terlibat ke daftar sertifikat tidak tepercaya untuk OS X.
CVE-ID
CVE-2013-5134
dyld
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang yang melakukan eksekusi kode arbitrer pada perangkat mungkin mampu mempertahankan eksekusi kode saat boot ulang
Deskripsi: Terdapat beberapa luapan buffer pada fungsi openSharedCacheFile() di dyld. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2013-3950: Stefan Esser
File Systems
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang yang dapat memasang sistem file non-HFS mungkin dapat menyebabkan penghentian sistem secara tiba-tiba atau eksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi saat menangani file AppleDouble. Masalah ini telah diatasi dengan menghapus dukungan untuk file AppleDouble.
CVE-ID
CVE-2013-3955: Stefan Esser
ImageIO
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Luapan buffer terjadi saat menangani data yang dikodekan dengan JPEG2000 dalam file PDF. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2013-1026 : Felix Groebert dari Tim Keamanan Google
IOKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Aplikasi latar belakang dapat menginjeksikan antarmuka pengguna ke app latar depan
Deskripsi: Aplikasi latar belakang dapat menginjeksikan kejadian antarmuka pengguna ke aplikasi latar depan menggunakan penyelesaian tugas atau API VoIP. Masalah ini telah diatasi dengan menerapkan kontrol akses pada proses latar depan dan latar belakang yang menangani kejadian antarmuka.
CVE-ID
CVE-2013-5137: Mackenzie Straight di Mobile Labs
IOKitUser
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Aplikasi lokal yang berbahaya dapat menyebabkan penghentian sistem secara tiba-tiba
Deskripsi: Terdapat dereferensi penunjuk null di IOCatalogue. Masalah ini telah diatasi melalui pemeriksaan jenis tambahan.
CVE-ID
CVE-2013-5138: Will Estes
IOSerialFamily
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Menjalankan aplikasi yang berbahaya dapat mengakibatkan eksekusi kode arbitrer di dalam kernel
Deskripsi: Terdapat akses array di luar batas pada driver IOSerialFamily. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2013-5139: @dent1zt
IPSec
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang dapat mencegat data yang dilindungi dengan IPSec Hybrid Auth
Deskripsi: Nama DNS pada server IPSec Hybrid Auth tidak dicocokkan dengan sertifikat, sehingga penyerang yang memiliki sertifikat untuk server mana pun dapat meniru identitas server lainnya. Masalah ini telah diatasi dengan pemeriksaan sertifikat yang ditingkatkan.
CVE-ID
CVE-2013-1028: Alexander Traud dari www.traud.de
Kernel
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang jarak jauh dapat menyebabkan perangkat memulai ulang secara tidak terduga
Deskripsi: Mengirimkan fragmen paket yang tidak valid ke perangkat dapat menyebabkan kernel assert terpicu, yang menyebabkan perangkat dimulai ulang. Masalah ini telah diatasi melalui validasi tambahan untuk fragmen paket.
CVE-ID
CVE-2013-5140: Joonas Kuorilehto dari Codenomicon, peneliti anonim yang bekerja sama dengan CERT-FI, Antti Levomäki dan Lauri Virtanen dari Vulnerability Analysis Group, Stonesoft
Kernel
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Aplikasi lokal yang berbahaya dapat menyebabkan perangkat terhenti
Deskripsi: Kerentanan pemotongan bilangan bulat di antarmuka soket kernel dapat dimanfaatkan untuk memaksa CPU memasuki loop tak terbatas. Masalah ini diatasi dengan menggunakan variabel berukuran lebih besar.
CVE-ID
CVE-2013-5141: CESG
Kernel
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang di jaringan lokal dapat menyebabkan penolakan layanan
Deskripsi: Penyerang di jaringan lokal dapat mengirimkan paket ICMP IPv6 yang dibuat khusus dan menyebabkan beban CPU yang tinggi. Masalah ini telah diatasi dengan membatasi laju paket ICMP sebelum memverifikasi checksum-nya.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Memori tumpukan kernel mungkin diungkapkan kepada pengguna lokal
Deskripsi: Terdapat masalah pengungkapan informasi di API msgctl dan segctl. Masalah ini telah diatasi dengan menginisialisasi struktur data yang dikembalikan dari kernel.
CVE-ID
CVE-2013-5142: Kenzley Alphonse dari Kenx Technology, Inc
Kernel
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Proses yang tidak memiliki hak istimewa bisa mendapatkan akses ke konten memori kernel yang dapat menyebabkan eskalasi hak istimewa
Deskripsi: Terdapat masalah pengungkapan informasi di API mach_port_space_info. Masalah ini telah diatasi dengan menginisialisasi bidang iin_collision dalam struktur yang dikembalikan dari kernel.
CVE-ID
CVE-2013-3953: Stefan Esser
Kernel
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Proses yang tidak memiliki hak istimewa mungkin dapat menyebabkan penghentian sistem secara tiba-tiba atau eksekusi kode arbitrer di kernel
Deskripsi: Terdapat masalah kerusakan memori saat menangani argumen ke API posix_spawn. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2013-3954: Stefan Esser
Kext Management
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Proses yang tidak sah dapat memodifikasi rangkaian ekstensi kernel yang dimuat
Deskripsi: Terdapat masalah saat kextd menangani pesan IPC dari pengirim yang tidak diautentikasi. Masalah ini telah diatasi dengan pemeriksaan otorisasi tambahan.
CVE-ID
CVE-2013-5145: “Rainbow PRISM”
libxml
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Melihat halaman web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat beberapa masalah kerusakan memori di libxml. Masalah ini telah diatasi dengan memperbarui libxml ke versi 2.9.0.
CVE-ID
CVE-2011-3102: Jüri Aedla
CVE-2012-0841
CVE-2012-2807: Jüri Aedla
CVE-2012-5134: Tim Keamanan Google Chrome (Jüri Aedla)
libxslt
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Melihat halaman web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat beberapa masalah kerusakan memori di libxslt. Masalah ini telah diatasi dengan memperbarui libxslt ke versi 1.1.28.
CVE-ID
CVE-2012-2825: Nicolas Gregoire
CVE-2012-2870: Nicolas Gregoire
CVE-2012-2871: Kai Lu dari FortiGuard Labs di Fortinet, Nicolas Gregoire
Passcode Lock
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Seseorang yang memiliki akses fisik ke perangkat mungkin dapat untuk melewati kunci layar
Deskripsi: Terdapat masalah kondisi pacu saat menangani panggilan telepon dan pengeluaran kartu SIM di layar kunci. Masalah ini telah diatasi melalui pengelolaan kondisi penguncian yang ditingkatkan.
CVE-ID
CVE-2013-5147: videosdebarraquito
Personal Hotspot
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Penyerang mungkin dapat bergabung dengan jaringan Hotspot Pribadi
Deskripsi: Terdapat masalah dalam pembuatan kata sandi Hotspot Pribadi, sehingga kata sandi dapat diprediksi oleh penyerang untuk bergabung dengan Hotspot Pribadi pengguna. Masalah ini telah diatasi dengan pembuatan kata sandi menggunakan entropi yang lebih tinggi.
ID-CVE
CVE-2013-4616: Andreas Kurtz dari NESO Security Labs dan Daniel Metz dari Universitas Erlangen-Nuremberg
Push Notifications
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Token pemberitahuan push dapat diungkap ke app meskipun bertentangan dengan keputusan pengguna
Deskripsi: Terdapat masalah pengungkapan informasi saat registrasi pemberitahuan push. App yang meminta akses pemberitahuan push menerima token sebelum pengguna menyetujui penggunaan pemberitahuan push oleh app. Masalah ini telah diatasi dengan menahan akses ke token hingga pengguna menyetujui akses.
CVE-ID
CVE-2013-5149: Jack Flintermann dari Grouper, Inc.
Safari
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori saat menangani file XML. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2013-1036: Kai Lu dari FortiGuard Labs di Fortinet
Safari
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Riwayat halaman yang baru-baru ini dikunjungi di tab yang terbuka mungkin tetap ada setelah riwayat dihapus
Deskripsi: Menghapus riwayat Safari tidak menghapus riwayat maju/mundur untuk tab yang terbuka. Masalah ini telah diatasi dengan menghapus riwayat maju/mundur.
CVE-ID
CVE-2013-5150
Safari
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Melihat file di situs web dapat menyebabkan eksekusi skrip meskipun server mengirimkan header ‘Content-Type: text/plain’
Deskripsi: Mobile Safari terkadang memperlakukan file sebagai file HTML meskipun server mengirim header ‘Content-Type: text/plain’. Hal ini dapat menyebabkan pembuatan skrip lintas situs pada situs yang mengizinkan pengguna mengunggah file. Masalah ini telah diatasi melalui penanganan file yang ditingkatkan ketika ‘Content-Type: text/plain’ diatur.
CVE-ID
CVE-2013-5151: Ben Toews dari Github
Safari
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web yang berbahaya dapat menampilkan URL arbitrer
Deskripsi: Terdapat masalah pemalsuan bar URL di Mobile Safari. Masalah ini telah diatasi melalui pelacakan URL yang ditingkatkan.
CVE-ID
CVE-2013-5152: Keita Haga dari keitahaga.com, Łukasz Pilorz dari RBS
Sandbox
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Aplikasi yang berupa skrip tidak dimasukkan ke sandbox
Deskripsi: Aplikasi pihak ketiga yang menggunakan sintaks #! untuk menjalankan skrip dimasukkan ke sandbox berdasarkan identitas interpreter skrip, bukan skrip itu sendiri. Sandbox mungkin tidak didefinisikan di interpreter, sehingga aplikasi dijalankan tanpa di-sandbox. Masalah ini telah diatasi dengan membuat sandbox berdasarkan identitas skrip.
CVE-ID
CVE-2013-5154: evad3rs
Sandbox
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Aplikasi dapat menyebabkan sistem terhenti
Deskripsi: Aplikasi pihak ketiga berbahaya yang menulis nilai spesifik ke perangkat /dev/random dapat memaksa CPU memasuki loop tak terbatas. Masalah ini telah diatasi dengan mencegah aplikasi pihak ketiga menulis ke /dev/random.
CVE-ID
CVE-2013-5155: CESG
Social
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Aktivitas pengguna baru-baru ini di Twitter dapat diungkap di perangkat yang tidak menggunakan kode sandi.
Deskripsi: Terdapat masalah yang menyebabkan akun Twitter mana yang baru-baru ini berinteraksi dengan pengguna dapat diketahui. Masalah ini telah diatasi dengan membatasi akses ke cache ikon Twitter.
CVE-ID
CVE-2013-5158: Jonathan Zdziarski
Springboard
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Seseorang yang memiliki akses fisik ke perangkat dalam Mode Hilang mungkin dapat melihat pemberitahuan
Deskripsi: Terdapat masalah dalam penanganan pemberitahuan saat perangkat berada dalam Mode Hilang. Pembaruan ini mengatasi masalah tersebut dengan pengelolaan status penguncian yang ditingkatkan.
CVE-ID
CVE-2013-5153: Daniel Stangroom
Telephony
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: App yang berbahaya dapat mengganggu atau mengontrol fungsionalitas telepon
Deskripsi: Terdapat masalah kontrol akses pada subsistem telepon. Dengan mengabaikan API yang didukung, app yang di-sandbox dapat membuat permintaan langsung ke daemon sistem yang mengganggu atau mengontrol fungsionalitas telepon. Masalah ini telah diatasi dengan menerapkan kontrol akses pada antarmuka yang diekspos oleh daemon telepon.
CVE-ID
CVE-2013-5156: Jin Han dari Institute for Infocomm Research yang bekerja sama dengan Qiang Yan dan Su Mon Kywe dari Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung, dan Wenke Lee dari Georgia Institute of Technology
Twitter
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: App yang di-sandbox dapat mengirim cuitan tanpa interaksi atau izin pengguna
Deskripsi: Terdapat masalah kontrol akses di subsistem Twitter. Dengan mengabaikan API yang didukung, app yang di-sandbox dapat membuat permintaan langsung ke daemon sistem yang mengganggu atau mengontrol fungsionalitas Twitter. Masalah ini telah diatasi dengan menerapkan kontrol akses pada antarmuka yang diekspos oleh daemon Twitter.
CVE-ID
CVE-2013-5157: Jin Han dari Institute for Infocomm Research yang bekerja sama dengan Qiang Yan dan Su Mon Kywe dari Singapore Management University; Tielei Wang, Kangjie Lu, Long Lu, Simon Chung, dan Wenke Lee dari Georgia Institute of Technology
WebKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat beberapa masalah kerusakan memori di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2013-0879: Atte Kettunen dari OUSPG
CVE-2013-0991: Jay Civelli dari komunitas pengembangan Chromium
CVE-2013-0992: Tim Keamanan Google Chrome (Martin Barbella)
CVE-2013-0993: Tim Keamanan Google Chrome (Inferno)
CVE-2013-0994: David German dari Google
CVE-2013-0995: Tim Keamanan Google Chrome (Inferno)
CVE-2013-0996: Tim Keamanan Google Chrome (Inferno)
CVE-2013-0997: Vitaliy Toropov yang bekerja sama dengan Zero Day Initiative dari HP
CVE-2013-0998: pa_kt yang bekerja sama dengan Zero Day Initiative dari HP
CVE-2013-0999: pa_kt yang bekerja sama dengan Zero Day Initiative dari HP
CVE-2013-1000: Fermin J. Serna dari Tim Keamanan Google
CVE-2013-1001: Ryan Humenick
CVE-2013-1002: Sergey Glazunov
CVE-2013-1003: Tim Keamanan Google Chrome (Inferno)
CVE-2013-1004: Tim Keamanan Google Chrome (Martin Barbella)
CVE-2013-1005: Tim Keamanan Google Chrome (Martin Barbella)
CVE-2013-1006: Tim Keamanan Google Chrome (Martin Barbella)
CVE-2013-1007: Tim Keamanan Google Chrome (Inferno)
CVE-2013-1008: Sergey Glazunov
CVE-2013-1010: miaubiz
CVE-2013-1037: Tim Keamanan Google Chrome
CVE-2013-1038: Tim Keamanan Google Chrome
CVE-2013-1039: own-hero Research yang bekerja sama dengan iDefense VCP
CVE-2013-1040: Tim Keamanan Google Chrome
CVE-2013-1041: Tim Keamanan Google Chrome
CVE-2013-1042: Tim Keamanan Google Chrome
CVE-2013-1043: Tim Keamanan Google Chrome
CVE-2013-1044: Apple
CVE-2013-1045: Tim Keamanan Google Chrome
CVE-2013-1046: Tim Keamanan Google Chrome
CVE-2013-1047: miaubiz
CVE-2013-2842: Cyril Cattiaux
CVE-2013-5125: Tim Keamanan Google Chrome
CVE-2013-5126: Apple
CVE-2013-5127: Tim Keamanan Google Chrome
CVE-2013-5128: Apple
WebKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan pengungkapan informasi
Deskripsi: Terdapat masalah pengungkapan informasi saat menangani API window.webkitRequestAnimationFrame(). Situs web perusak yang berbahaya dapat menggunakan iframe untuk menentukan apakah situs lain menggunakan window.webkitRequestAnimationFrame(). Masalah ini telah diatasi melalui peningkatan penanganan window.webkitRequestAnimationFrame().
CVE-ID
CVE-2013-5159
WebKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Menyalin dan menempelkan potongan HTML yang berbahaya dapat menyebabkan serangan skrip lintas situs
Deskripsi: Masalah skrip lintas situs terjadi saat menangani data yang disalin dan ditempel dalam dokumen HTML. Masalah ini telah ditangani melalui validasi tambahan terhadap konten yang ditempel.
CVE-ID
CVE-2013-0926: Aditya Gupta, Subho Halder, dan Dev Kar dari xys3c (xysec.com)
WebKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan serangan skrip lintas situs
Deskripsi: Masalah skrip lintas situs terjadi saat menangani iframe. Masalah ini telah diatasi melalui pelacakan sumber yang ditingkatkan.
CVE-ID
CVE-2013-1012: Subodh Iyengar dan Erling Ellingsen dari Facebook
WebKit
Tersedia untuk: iPhone 3GS dan versi yang lebih baru, iPod touch (generasi ke-4) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengungkapan informasi
Deskripsi: Terdapat masalah pengungkapan informasi di XSSAuditor. Masalah ini telah diatasi melalui peningkatan penanganan URL.
CVE-ID
CVE-2013-2848: Egor Homakov
WebKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Menyeret atau menempelkan pilihan dapat menyebabkan serangan skrip lintas situs
Deskripsi: Menyeret atau menempelkan pilihan dari satu situs ke situs lain memungkinkan skrip yang terdapat di dalam pilihan tersebut dijalankan dalam konteks situs baru. Masalah ini telah diatasi melalui validasi tambahan pada konten sebelum operasi tempel atau seret dan lepas.
CVE-ID
CVE-2013-5129: Mario Heiderich
WebKit
Tersedia untuk: iPhone 4 dan versi yang lebih baru, iPod touch (generasi ke-5) dan versi yang lebih baru, iPad 2 dan versi yang lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan serangan skrip lintas situs
Deskripsi: Masalah skrip lintas situs terjadi saat menangani URL. Masalah ini telah diatasi melalui pelacakan sumber yang ditingkatkan.
CVE-ID
CVE-2013-5131: Erling A Ellingsen
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.