Mengenai konten keamanan iPhone v2.0 dan iPod touch v2.0

Dokumen ini menjelaskan konten keamanan iPhone v2.0 dan iPod touch v2.0.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple.”

iPhone v2.0 dan iPod touch v2.0

  • CFNetwork

    CVE-ID: CVE-2008-0050

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Server proxy yang berbahaya dapat memalsukan situs web yang aman

    Deskripsi: Server proxy HTTPS yang berbahaya dapat memberikan data arbitrer ke CFNetwork dalam kesalahan 502 Bad Gateway, yang membuat situs web aman dapat dipalsukan. Pembaruan ini mengatasi masalah tersebut dengan tidak memberikan data yang disediakan proxy pada kondisi kesalahan.

  • Kernel

    CVE-ID: CVE-2008-0177

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Penyerang jarak jauh mungkin dapat menyebabkan pengaturan ulang perangkat yang tidak terduga

    Deskripsi: Terdapat kondisi kegagalan yang tidak terdeteksi dalam penanganan paket dengan header IPComp. Mengirimkan paket perusak yang berbahaya ke sistem yang dikonfigurasi untuk menggunakan IPSec atau IPv6 dapat menyebabkan pengaturan ulang perangkat yang tidak terduga. Pembaruan ini mengatasi masalah tersebut dengan mendeteksi kondisi kegagalan secara benar.

  • Safari

    CVE-ID: CVE-2008-1588

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Ruang ideografis unicode dapat digunakan untuk memalsukan situs web

    Deskripsi: Saat Safari menampilkan URL saat ini di bar alamat, ruang ideografis Unicode dirender. Dengan demikian, situs web perusak yang berbahaya dapat mengarahkan pengguna ke situs yang dipalsukan yang tampilannya mirip dengan domain sah. Pembaruan ini mengatasi masalah tersebut dengan tidak merender ruang ideografis Unicode di bar alamat.

  • Safari

    CVE-ID: CVE-2008-1589

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengungkapan informasi rahasia

    Deskripsi: Saat Safari mengakses situs web yang menggunakan sertifikat yang ditandatangani sendiri atau tidak valid, pengguna akan diminta untuk menerima atau menolak sertifikat tersebut. Jika pengguna menekan tombol menu saat membuka dialog permintaan itu, sertifikat akan diterima tanpa permintaan pada kunjungan berikutnya ke situs tersebut. Hal ini dapat mengakibatkan pengungkapan informasi sensitif. Pembaruan ini mengatasi masalah tersebut melalui penanganan sertifikat yang ditingkatkan. Terima kasih kepada Hiromitsu Takagi yang telah melaporkan masalah ini.

  • Safari

    CVE-ID: CVE-2008-2303

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Masalah status penandatanganan dalam penanganan indeks larik JavaScript oleh Safari dapat menyebabkan akses memori di luar batas. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap indeks larik JavaScript. Terima kasih kepada SkyLined dari Google yang telah melaporkan masalah ini.

  • Safari

    CVE-ID: CVE-2006-2783

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pembuatan skrip lintas situs

    Deskripsi: Safari mengabaikan urutan tanda susunan byte Unicode saat menguraikan halaman web. Filter konten web dan situs web tertentu mencoba membersihkan input dengan memblokir tag HTML tertentu. Metode pemfilteran ini dapat dilewati dan menyebabkan pembuatan skrip lintas situs saat menemukan tag HTML perusak berbahaya yang berisi urutan tanda susunan byte. Pembaruan ini mengatasi masalah tersebut melalui penanganan urutan tanda susunan byte yang ditingkatkan. Terima kasih kepada Chris Weber dari Casaba Security, LLC yang telah melaporkan masalah ini.

  • Safari

    CVE-ID: CVE-2008-2307

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan larik JavaScript oleh WebKit. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada James Urquhart karena sudah melaporkan masalah ini.

  • Safari

    CVE-ID: CVE-2008-2317

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan elemen lembar gaya oleh WebCore. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pengambilan sampah yang ditingkatkan. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • Safari

    CVE-ID: CVE-2007-6284

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Memproses dokumen XML dapat menyebabkan penolakan layanan

    Deskripsi: Terdapat masalah konsumsi memori dalam penanganan dokumen XML yang berisi urutan UTF-8 tidak valid, yang dapat menyebabkan penolakan layanan. Pembaruan ini mengatasi masalah tersebut dengan memperbarui perpustakaan sistem libxml2 ke versi 2.6.16.

  • Safari

    CVE-ID: CVE-2008-1767

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Memproses dokumen XML dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori di perpustakaan libxslt. Melihat halaman HTML perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Informasi lebih lanjut mengenai patch yang diterapkan tersedia melalui situs web xmlsoft.org http://xmlsoft.org/XSLT/ Terima kasih kepada Anthony de Almeida Lopes dari Outpost24 AB, dan Chris Evans dari Tim Keamanan Google yang telah melaporkan masalah ini.

  • WebKit

    CVE-ID: CVE-2008-1590

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan pengambilan sampah runtime oleh JavaScriptCore. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pengambilan sampah yang ditingkatkan. Terima kasih kepada Itzik Kotler dan Jonathan Rom dari Radware yang telah melaporkan masalah ini.

  • WebKit

    CVE-ID: CVE-2008-1025

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Mengakses URL perusak yang berbahaya dapat menyebabkan pembuatan skrip lintas situs

    Deskripsi: Terdapat masalah dalam penanganan URL yang berisi karakter titik dua dalam nama host oleh WebKit. Mengakses URL perusak yang berbahaya dapat menyebabkan serangan skrip lintas situs. Pembaruan ini mengatasi masalah tersebut melalui penanganan URL yang ditingkatkan. Terima kasih kepada Robert Swiecki dari Tim Keamanan Google, dan David Bloom yang telah melaporkan masalah ini.

  • WebKit

    CVE-ID: CVE-2008-1026

    Tersedia untuk: iPhone v1.0 sampai v1.1.4, iPod touch v1.1 sampai v1.1.4

    Dampak: Melihat halaman web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer tumpukan dalam penanganan ekspresi reguler JavaScript oleh WebKit. Masalah ini dapat dipicu melalui JavaScript saat memproses ekspresi reguler dengan jumlah pengulangan besar yang ditumpuk. Hal ini dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap ekspresi reguler JavaScript. Terima kasih kepada Charlie Miller dari Independent Security Evaluators yang telah melaporkan masalah ini.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: