Mengenai konten keamanan iOS 9.2
Dokumen ini menjelaskan konten keamanan iOS 9.2.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
iOS 9.2
AppleMobileFileIntegrity
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kontrol akses telah ditangani dengan mencegah modifikasi struktur kontrol akses.
CVE-ID
CVE-2015-7055 : Apple
AppSandbox
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat mempertahankan akses ke Kontak setelah aksesnya dibatalkan
Deskripsi: Masalah muncul saat menangani tautan keras sandbox. Masalah ini telah diatasi dengan penguatan app sandbox yang lebih baik.
CVE-ID
CVE-2015-7001 : Razvan Deaconescu dan Mihai Bucicoiu dari University POLITEHNICA of Bucharest; Luke Deshotels dan William Enck dari North Carolina State University; Lucas Vincenzo Davi dan Ahmad-Reza Sadeghi dari TU Darmstadt
CFNetwork HTTPProtocol
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas HSTS
Deskripsi: Masalah validasi input muncul saat memproses URL. Masalah ini telah diatasi melalui validasi URL yang lebih baik.
CVE-ID
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) dari Gehirn Inc. dan Muneaki Nishimura (nishimunea)
Kompresi
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah akses memori yang tidak diinisialisasi muncul di zlib. Masalah ini telah diatasi melalui peningkatan inisialisasi memori dan validasi tambahan stream zlib.
CVE-ID
CVE-2015-7054 : j00ru
CoreGraphics
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat memproses file font. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-7105 : John Villamil (@day6reak), Tim Yahoo Pentest
Pemutaran CoreMedia
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul saat memproses file media yang berubah bentuk. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7074 : Apple
CVE-2015-7075
dyld
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah validasi segmen muncul di dyld. Masalah-masalah ini telah diatasi melalui pembersihan lingkungan yang lebih baik.
CVE-ID
CVE-2015-7072 : Apple
CVE-2015-7079 : PanguTeam
GPUTools Framework
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah validasi jalur muncul di Mobile Replayer. Masalah-masalah ini telah diatasi melalui pembersihan lingkungan yang lebih baik.
CVE-ID
CVE-2015-7069 : Luca Todesco (@qwertyoruiop)
CVE-2015-7070 : Luca Todesco (@qwertyoruiop)
iBooks
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menguraikan file iBooks perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah referensi entitas eksternal XML muncul dengan menguraikan iBooks. Masalah ini telah diatasi melalui penguraian yang ditingkatkan.
CVE-ID
CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) dan Patrik Fehrenbach (@ITSecurityguard)
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul di ImageIO. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7053 : Apple
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah kerusakan memori terjadi di API IOHIDFamily. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7111 : beist dan ABH dari BoB
CVE-2015-7112 : Ian Beer dari Google Project Zero
IOKit SCSI
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dereferensi penunjuk null muncul saat menangani tipe userclient tertentu. Masalah ini telah diatasi dengan peningkatan validasi.
CVE-ID
CVE-2015-7068 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi lokal dapat menyebabkan penolakan layanan
Deskripsi: Beberapa masalah penolakan layanan telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7040 : Lufeng Li dari Qihoo 360 Vulcan Team
CVE-2015-7041 : Lufeng Li dari Qihoo 360 Vulcan Team
CVE-2015-7042 : Lufeng Li dari Qihoo 360 Vulcan Team
CVE-2015-7043 : Tarjei Mandt (@kernelpool)
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori muncul di kernel. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7083 : Ian Beer dari Google Project Zero
CVE-2015-7084 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah muncul saat menguraikan pesan mach. Masalah ini telah diatasi melalui validasi pesan mach yang lebih baik.
CVE-ID
CVE-2015-7047 : Ian Beer dari Google Project Zero
LaunchServices
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori muncul saat memproses plist yang cacat. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7113 : Olivier Goguel dari Free Tools Association
libarchive
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat memproses arsip. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2011-2895 : @practicalswift
libc
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses paket perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa kelebihan buffer muncul di perpustakaan standar C. Masalah-masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-ID
CVE-2015-7038 : Brian D. Wells dari E. W. Scripps, Narayan Subramanian dari Symantec Corporation/Veritas LLC
CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)
Entri diperbarui tanggal 3 Maret 2017
libxml2
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah kerusakan memori muncul saat menguraikan file XML. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7115 : Wei Lei dan Liu Yang dari Universitas Teknologi Nanyang
CVE-2015-7116 : Wei Lei dan Liu Yang dari Universitas Teknologi Nanyang
MobileStorageMounter
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah pengaturan waktu muncul saat memuat cache kepercayaan. Masalah ini telah diatasi dengan memvalidasi lingkungan sistem sebelum memuat cache kepercayaan.
CVE-ID
CVE-2015-7051 : PanguTeam
OpenGL
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul di OpenGL. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7064 : Apple
CVE-2015-7065 : Apple
CVE-2015-7066 : Tongbo Luo dan Bo Qu dari Palo Alto Networks
Foto
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dapat menggunakan sistem cadangan untuk mengakses area terbatas dari sistem file
Deskripsi: Masalah validasi jalur muncul di Mobile Backup. Masalah ini telah diatasi melalui pembersihan lingkungan yang lebih baik.
CVE-ID
CVE-2015-7037 : PanguTeam
QuickLook
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka file iWork perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat menangani file iWork. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7107
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Suatu masalah mungkin telah mengizinkan situs web menampilkan konten dengan URL dari situs web lain. Masalah ini telah diatasi melalui peningkatan penanganan URL.
CVE-ID
CVE-2015-7093 : xisigr dari Tencent's Xuanwu LAB (www.tencent.com)
Sandbox
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dengan hak istimewa dasar mungkin dapat memintas pengacakan tata letak ruang alamat kernel
Deskripsi: Masalah pemisahan hak istimewa yang tidak memadai muncul di xnu. Masalah ini telah diatasi dengan pemeriksaan otorisasi yang lebih baik.
CVE-ID
CVE-2015-7046 : Apple
Keamanan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat menangani handshake SSL. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7073 : Benoit Foucher dari ZeroC, Inc.
Keamanan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat memperoleh akses ke item rantai kunci milik pengguna
Deskripsi: Masalah terjadi saat memvalidasi daftar kontrol akses untuk item rantai kunci. Masalah ini telah diatasi melalui pemeriksaan daftar kontrol akses yang ditingkatkan.
CVE-ID
CVE-2015-7058
Siri
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Seseorang yang memiliki akses fisik ke perangkat iOS dapat menggunakan Siri untuk membaca pemberitahuan konten yang diatur untuk tidak ditampilkan di layar terkunci
Deskripsi: Ketika permintaan dilakukan ke Siri, pembatasan dari sisi klien tidak diperiksa server. Masalah ini telah diatasi dengan pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-7080 : Or Safran (www.linkedin.com/profile/view?id=33912591)
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-7048 : Apple
CVE-2015-7095 : Apple
CVE-2015-7096 : Apple
CVE-2015-7097 : Apple
CVE-2015-7098 : Apple
CVE-2015-7099 : Apple
CVE-2015-7100 : Apple
CVE-2015-7101 : Apple
CVE-2015-7102 : Apple
CVE-2015-7103 : Apple
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat membuka riwayat penelusuran pengguna
Deskripsi: Masalah input yang tidak memadai terdapat di pemblokiran konten. Masalah ini telah diatasi melalui peningkatan penguraian ekstensi konten.
CVE-ID
CVE-2015-7050 : Luke Li dan Jonathan Metzman
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.