Mengenai konten keamanan iOS 8.4
Dokumen ini menjelaskan konten keamanan iOS 8.4.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
iOS 8.4
Application Store
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App profil penyedia universal yang berbahaya dapat membuat app tidak bisa dijalankan
Deskripsi: Terdapat masalah di logika penginstalan untuk app profil penyedia universal, yang dapat menimbulkan bentrok dengan ID bundel yang ada. Masalah ini telah diatasi dengan pemeriksaan benturan yang lebih baik.
CVE-ID
CVE-2015-3722: Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
Certificate Trust Policy
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan berhak istimewa mungkin dapat mencegat trafik jaringan
Deskripsi: Sertifikat perantara tidak diterbitkan dengan benar oleh otoritas penerbit sertifikat CNNIC. Masalah ini telah diatasi dengan penambahan mekanisme agar hanya memercayai subset sertifikat yang diterbitkan sebelum kesalahan penerbitan sertifikat perantara tersebut. Tersedia detail lebih lanjut mengenai daftar pengizinan keamanan yang dipercaya sebagian.
Certificate Trust Policy
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pembaruan ke kebijakan kepercayaan sertifikat
Deskripsi: kebijakan kepercayaan sertifikat diperbarui. Daftar lengkap sertifikat dapat dilihat di Toko Tepercaya iOS.
CFNetwork HTTPAuthentication
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka URL perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Terjadi masalah kerusakan memori saat penanganan kredensial URL tertentu. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3684: Apple
CoreGraphics
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi sejumlah masalah kerusakan memori dalam penanganan profil ICC. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3723: chaithanya (SegFault) yang bekerja sama dengan Zero Day Initiative HP
CVE-2015-3724: WanderingGlitch dari Zero Day Initiative HP
CoreText
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi sejumlah masalah kerusakan memori dalam penanganan file teks. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3687: John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3688: John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3689: Apple
coreTLS
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan berhak istimewa dapat mencegat koneksi SSL/TLS
Deskripsi: coreTLS menerima kunci Diffie-Hellman (DH) pendek sementara, seperti yang digunakan dalam rangkaian cipher DH sementara berkemampuan ekspor. Masalah yang juga dikenal sebagai Logjam ini menyebabkan penyerang dengan posisi jaringan hak istimewa menurunkan keamanan hingga 512-bit DH jika server mendukung rangkaian cipher DH sementara berkemampuan ekspor. Masalah ini telah diatasi dengan meningkatkan ukuran minimum default yang diizinkan untuk kunci sementara DH hingga 768 bit.
CVE-ID
CVE-2015-4000: Tim weakdh di weakdh.org, Hanno Boeck
DiskImages
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Terjadi masalah pengungkapan informasi saat pemrosesan disk image. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3690: Peter Rutenbar yang bekerja sama dengan Zero Day Initiative dari HP
FontParser
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi sejumlah masalah kerusakan memori saat pemrosesan file font. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka file .tiff perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah kerusakan memori saat pemrosesan file .tiff. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-ID
CVE-2015-3703: Apple
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Terdapat sejumlah kerentanan pada libtiff, dengan imbas terparahnya yaitu eksekusi kode arbitrer
Deskripsi: Terdapat sejumlah kerentanan pada versi libtiff sebelum 4.0.4. Sudah ditangani dengan memperbarui libtiff ke versi 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Terjadi masalah pengelolaan memori saat penanganan parameter HFS yang dapat menyebabkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3721: Ian Beer dari Google Project Zero
Mail
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Email perusak berbahaya dapat menggantikan isi pesan dengan halaman web arbitrer saat pesan dibuka
Deskripsi: Terjadi masalah pada dukungan email HTML yang mengizinkan konten pesan disegarkan dengan halaman web arbitrer. Masalah ini telah diatasi melalui pembatasan dukungan untuk konten HTML.
CVE-ID
CVE-2015-3710: Aaron Sigel dari vtty.com, Jan Souček
MobileInstallation
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App profil penyedia universal berbahaya dapat membuat app Watch tidak bisa dijalankan
Deskripsi: Terdapat masalah di logika penginstalan untuk app profil penyedia universal di Watch, yang dapat menimbulkan bentrok dengan ID bundel yang ada. Masalah ini telah diatasi dengan pemeriksaan benturan yang lebih baik.
CVE-ID
CVE-2015-3725: Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat membahayakan informasi pengguna di filesystem
Deskripsi: Terjadi masalah pengelolaan status di Safari yang mengizinkan origin tanpa hak istimewa untuk mengakses konten di filesystem. Masalah ini telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-ID
CVE-2015-1155: Joe Vennix dari Rapid7 Inc. bekerja sama dengan Zero Day Initiative HP
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengambilalihan akun
Deskripsi: Terjadi masalah berupa Safari yang mempertahankan judul permintaan Origin untuk pengarahan ulang lintas origin sehingga situs web berbahaya menggagalkan perlindungan CSRF. Masalah ini telah diatasi melalui penanganan pengalihan yang ditingkatkan.
CVE-ID
CVE-2015-3658: Brad Hill dari Facebook
Security
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aksi penyerang jarak jauh dapat menyebabkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan bilangan bulat dalam kode kerangka kerja Keamanan untuk menguraikan email S/MIME dan sejumlah objek lain yang ditandatangani atau dienkripsi. Masalah ini telah diatasi dengan pemeriksaan validitas yang ditingkatkan.
CVE-ID
CVE-2013-1741
SQLite
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aksi penyerang jarak jauh dapat menyebabkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi sejumlah kelebihan buffer saat implementasi printf SQLite. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2015-3717: Peter Rutenbar yang bekerja sama dengan Zero Day Initiative dari HP
SQLite
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Perintah SQL perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah API dalam fungsi SQLite. Masalah ini telah diatasi dengan peningkatan pembatasan.
CVE-ID
CVE-2015-7036: Peter Rutenbar yang bekerja sama dengan Zero Day Initiative dari HP
Telephony
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Kartu SIM perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Terjadi sejumlah masalah validasi input kerusakan memori saat penguraian muatan SIM/UIM. Masalah-masalah ini telah diatasi melalui validasi muatan yang lebih baik.
CVE-ID
CVE-2015-3726: Matt Spisak dari Endgame
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web berbahaya dengan mengklik tautan dapat menyebabkan pemalsuan antarmuka pengguna
Deskripsi: Terjadi masalah dalam penanganan atribut rel dalam elemen jangkar. Objek target dapat memperoleh akses tidak sah ke objek tautan. Masalah ini telah diatasi melalui kepatuhan jenis tautan yang lebih baik.
CVE-ID
CVE-2015-1156: Zachary Durber dari Moodle
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-1152: Apple
CVE-2015-1153: Apple
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka halaman web perusak yang berbahaya dapat mengakibatkan penghentian app secara tak terduga atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah perbandingan yang tidak memadai dalam pemberi otorisasi SQLite yang mengizinkan pemanggilan fungsi SQL arbitrer. Masalah ini telah diatasi dengan peningkatan pemeriksaan pengesahan.
CVE-ID
CVE-2015-3659: Peter Rutenbar yang bekerja sama dengan Zero Day Initiative dari HP
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Situs web perusak yang berbahaya dapat mengakses database WebSQL situs web lain
Deskripsi: Terjadi masalah pemeriksaan otorisasi untuk menamai ulang tabel WebSQL yang dapat mengizinkan situs web perusak yang berbahaya mengakses database situs web lain. Masalah ini telah diatasi melalui pemeriksaan pengesahan yang lebih baik.
CVE-ID
CVE-2015-3727: Peter Rutenbar yang bekerja sama dengan Zero Day Initiative dari HP
Wi-Fi Connectivity
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Perangkat iOS dapat secara otomatis terhubung dengan titik akses tidak tepercaya yang menawarkan ESSID yang dikenal, tetapi versi jenis keamanannya lebih lemah
Deskripsi: Terjadi masalah perbandingan yang tidak memadai dalam evaluasi pengelola Wi-Fi atas penawaran titik akses yang diketahui. Masalah ini telah diatasi melalui pencocokan parameter keamanan yang lebih baik.
CVE-ID
CVE-2015-3728: Brian W. Gray dari Carnegie Mellon University, Craig Young dari TripWire
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.