Tentang konten keamanan iOS 7.1

Dokumen ini menjelaskan tentang konten keamanan iOS 7,1.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple".

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple."

iOS 7.1

  • Cadangan

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Cadangan perusak berbahaya dapat mengubah sistem file

    Penjelasan: Tautan simbolik pada cadangan akan dipulihkan, sehingga memungkinkan operasi berikutnya selama pemulihan untuk menulis sistem file lain. Masalah ini telah diatasi dengan memeriksa tautan simbolik selama proses pemulihan.

    CVE-ID

    CVE-2013-5133 : evad3rs

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Sertifikat dasar telah diperbarui

    Penjelasan: Beberapa sertifikat telah ditambahkan ke atau dihapus dari daftar root sistem.

  • Profil Konfigurasi

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Tanggal kedaluwarsa profil tidak dipatuhi

    Penjelasan: Tanggal kedaluwarsa profil konfigurasi pada perangkat bergerak tidak dievaluasi dengan benar. Masalah ini diatasi dengan peningkatan penanganan konfigurasi profil.

    CVE-ID

    CVE-2014-1267

  • CoreCapture

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat mengakibatkan sistem terhenti tiba-tiba

    Penjelasan: Masalah pernyataan yang dapat dicapai ada di penanganan CoreCapture pada panggilan IOKit API. Masalah diatasi dengan validasi tambahan input dari IOKit.

    CVE-ID

    CVE-2014-1271 : Filippo Bigarella

  • Pelaporan Terhenti Tiba-Tiba

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal mungkin dapat mengubah izin pada file arbitrer

    Penjelasan: CrashHouseKeeping diikuti tautan simbolis saat mengganti izin pada file. Masalah ini diatasi dengan tidak mengikuti tautan simbolis ketika mengganti izin pada file.

    CVE-ID

    CVE-2014-1272 : evad3rs

  • dyld

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Persyaratan penandatanganan kode dapat dilewati

    Penjelasan: Petunjuk relokasi teks di perpustakan dinamis dimuat oleh dyld tanpa validasi kode tanda tangan. Masalah ini diatasi dengan mengabaikan petunjuk relokasi teks.

    CVE-ID

    CVE-2014-1273 : evad3rs

  • FaceTime

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Seseorang dengan akses fisik ke perangkat mungkin dapat mengakses kontak FaceTime dari layar kunci

    Penjelasan: Kontak FaceTime pada perangkat yang dikunci dapat ditampilkan dengan melakukan panggilan FaceTime yang gagal dari layar kunci. Masalah ini telah diatasi melalui penanganan panggilan FaceTime yang ditingkatkan.

    CVE-ID

    CVE-2014-1274

  • ImageIO

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer overflow muncul saat menangani gambar JPEG2000 di file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1275 : Felix Groebert dari Tim Keamanan Google

  • ImageIO

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Menampilkan file TIFF perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer terjadi saat menangani gambar TIFF di libtiff. Masalah ini diatasi melalui validasi gambar TIFF tambahan.

    CVE-ID

    CVE-2012-2088

  • ImageIO

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan terungkapnya konten memori

    Penjelasan: Masalah akses memori yang tidak diinisialisasi muncul saat menangani libjpeg dari penanda JPEG yang mengakibatkan pengungkapan konten memori. Masalah ini ditangani melalui validasi tambahan file JPEG.

    CVE-ID

    CVE-2013-6629 : Michal Zalewski

  • Acara HID IOKit

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya mungkin memantau tindakan pengguna di aplikasi lain

    Penjelasan: Antarmuka di kerangka kerja IOKit memungkinkan aplikasi berbahaya memantau tindakan pengguna di aplikasi lain. Masalah ini telah diatasi melalui kebijakan kontrol akses dalam kerangka kerja yang ditingkatkan.

    CVE-ID

    CVE-2014-1276 : Min Zheng, Hui Xue, dan Dr. Tao (Lenx) Wei dari FireEye

  • iTunes Store

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang penengah dapat mengajak pengguna untuk mengunduh aplikasi berbahaya melalui Enterprise App Download

    Penjelasan: Penyerang dengan posisi jaringan istimewa dapat memperdaya komunikasi jaringan untuk mengajak pengguna mengunduh aplikasi berbahaya. Masalah ini telah diatasi menggunakan SSL dan menampilkan pengguna selama pengalihan URL.

    CVE-ID

    CVE-2013-3948 : Stefan Esser

  • Kernel

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengakibatkan sistem terhenti tiba-tiba atau eksekusi kode arbitrer di kernel

    Penjelasan: Masalah akses memori tak terikat muncul di fungsi ARM ptmx_get_ioctl. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1278 : evad3rs

  • Penampil Office

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Membuka dokumen Microsoft Word berbahaya yang dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah pengosongan ganda muncul saat menangani dokumen Microsoft Word. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2014-1252 : Felix Groebert dari Tim Keamanan Google

  • Ujung Belakang Foto

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Gambar yang dihapus mungkin tetap muncul di aplikasi Foto pada bagian bawah gambar transparan

    Penjelasan: Menghapus gambar dari perpustakaan aset tidak dapat menghapus versi cache dari gambar tersebut. Masalah ini telah diatasi melalui pengelolaan cache yang ditingkatkan.

    CVE-ID

    CVE-2014-1281 : Walter Hoelblinger dari Hoelblinger.com, Morgan Adams, Tom Pennington

  • Profil

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Profil konfigurasi disembunyikan dari pengguna

    Penjelasan: Profil konfigurasi dengan nama panjang dapat dimuat ke dalam perangkat namun tidak ditampilkan di antarmuka profil. Masalah ini diatasi dengan peningkatan penanganan nama profil.

    CVE-ID

    CVE-2014-1282 : Assaf Hefetz, Yair Amit, dan Adi Sharabani dari Skycure

  • Safari

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Kredensial pengguna dapat diungkapkan ke situs yang tak terduga melalui pengisian otomatis

    Penjelasan: Safari dapat mengisi otomatis nama pengguna dan kata sandi ke subkerangka dari domain yang berbeda selain kerangka utama. Masalah ini telah diatasi melalui pelacakan sumber yang ditingkatkan.

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren dari Klarna AB

  • Pengaturan - Akun

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Seseorang yang memiliki akses fisik ke perangkat mungkin dapat menonaktifkan Cari iPhone Saya tanpa memasukkan kata sandi iCloud

    Deskripsi: Masalah pengelolaan status muncul saat menangani status Cari iPhone Saya. Masalah ini telah diatasi melalui penanganan status Cari iPhone Saya yang ditingkatkan.

    CVE-ID

    CVE-2014-2019

  • Springboard

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Seseorang dengan akses fisik ke perangkat mungkin dapat melihat layar utama perangkat meskipun perangkat belum diaktifkan

    Penjelasan: Penghentian aplikasi secara tiba-tiba selama pengaktifan dapat mengakibatkan ponsel menampilkan layar utama. Masalah ini telah diatasi melalui penanganan kesalahan selama pengaktifan yang ditingkatkan.

    CVE-ID

    CVE-2014-1285 : Roboboi99

  • Layar Kunci SpringBoard

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan layar kunci menjadi tidak responsif

    Penjelasan: Masalah manajemen kondisi muncul di layar kunci. Masalah ini telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

    CVE-ID

    CVE-2014-1286 : Bogdan Alecu dari M-sec.net

  • Kerangka kerja TelephonyUI

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Halaman web dapat memicu panggilan audio FaceTime tanpa interaksi pengguna

    Penjelasan: Safari tidak bertanya kepada pengguna sebelum meluncurkan URL facetime-audio://. Masalah ini telah diatasi dengan tambahan permintaan konfirmasi.

    CVE-ID

    CVE-2013-6835 : Guillaume Ross

  • Host USB

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Seseorang dengan akses fisik ke perangkat dapat mengakibatkan pemutusan kode arbitrer dalam mode kernel

    Penjelasan: Masalah kerusakan memori muncul saat menangani pesan USB. Masalah ini telah diatasi dengan validasi tambahan pesan USB.

    CVE-ID

    CVE-2014-1287 : Andy Davis dari NCC Group

  • Driver Video

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Memutar video yang dibuat secara berbahaya dapat mengakibatkan perangkat tidak berfungsi

    Penjelasan: Masalah dereferensi null muncul saat menangani file encode MPEG-4. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2014-1280 : rg0rd

  • WebKit

    Tersedia untuk: iPhone 4 dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2013-2909 : Atte Kettunen dari OUSPG

    CVE-2013-2926 : cloudfuzzer

    CVE-2013-2928 : Tim Keamanan Google Chrome

    CVE-2013-5196 : Tim Keamanan Google Chrome

    CVE-2013-5197 : Tim Keamanan Google Chrome

    CVE-2013-5198 : Apple

    CVE-2013-5199 : Apple

    CVE-2013-5225 : Tim Keamanan Google Chrome

    CVE-2013-5228 : Tim Keen (@K33nTeam) bekerja dengan HP's Zero Day Initiative

    CVE-2013-6625 : cloudfuzzer

    CVE-2013-6635 : cloudfuzzer

    CVE-2014-1269 : Apple

    CVE-2014-1270 : Apple

    CVE-2014-1289 : Apple

    CVE-2014-1290 : ant4g0nist (SegFault) bekerja dengan HP's Zero Day Initiative, Google Chrome Security Team, Lee Wang Hao bekerja dengan S.P.T. Krishnan dari Infocomm Security Department, Institute for Infocomm Research

    CVE-2014-1291 : Tim Keamanan Google Chrome

    CVE-2014-1292 : Tim Keamanan Google Chrome

    CVE-2014-1293 : Tim Keamanan Google Chrome

    CVE-2014-1294 : Tim Keamanan Google Chrome

FaceTime tidak tersedia di semua negara atau wilayah.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: