Artikel ini telah diarsipkan dan tidak lagi diperbarui oleh Apple.

Mengenai konten keamanan iPhone v2.1

Dokumen ini menjelaskan konten keamanan iPhone v2.1.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple.”

iPhone v2.1

  • Application Sandbox

    CVE-ID: CVE-2008-3631

    Tersedia untuk: iPhone v2.0 hingga v2.0.2

    Dampak: Suatu app mungkin dapat membaca file app lain

    Deskripsi: Sandbox App tidak menerapkan pembatasan akses antar-app pihak ketiga dengan benar. Hal ini menyebabkan app pihak ketiga dapat membaca file di sandbox app pihak ketiga lainnya dan menyebabkan pengungkapan informasi sensitif. Pembaruan ini mengatasi masalah tersebut dengan menerapkan pembatasan akses yang tepat antar-sandbox aplikasi. Terima kasih kepada Nicolas Seriot dari Sen:te dan Bryce Cogswell karena telah melaporkan masalah ini. Masalah ini tidak terjadi pada iPhone sebelum versi v2.0.

  • CoreGraphics

    CVE-ID: CVE-2008-1806, CVE-2008-1807, CVE-2008-1808

    Tersedia untuk: iPhone v1.0 hingga v2.0.2

    Dampak: Beberapa kerentanan di FreeType v2.3.5

    Deskripsi: Terdapat beberapa kerentanan di FreeType v2.3.5. Kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer saat mengakses data font yang berbahaya. Pembaruan ini mengatasi masalah tersebut dengan menyertakan perbaikan keamanan dari FreeType versi 2.3.6. Informasi lebih lanjut tersedia melalui situs FreeType di http://www.freetype.org/

  • mDNSResponder

    CVE-ID: CVE-2008-1447

    Tersedia untuk: iPhone v1.0 hingga v2.0.2

    Dampak: mDNSResponder rentan terhadap gangguan cache DNS dan dapat menampilkan informasi palsu

    Deskripsi: mDNSResponder menyediakan terjemahan antara nama host dan alamat IP untuk app yang menggunakan API resolusi DNS unicast-nya. Kelemahan dalam protokol DNS memungkinkan penyerang jarak jauh melakukan serangan gangguan cache DNS. Akibatnya, aplikasi yang mengandalkan mDNSResponder untuk DNS mungkin menerima informasi palsu. Pembaruan ini mengatasi masalah tersebut dengan menerapkan pengacakan port sumber dan ID transaksi untuk meningkatkan ketahanan terhadap serangan gangguan cache. Terima kasih kepada Dan Kaminsky dari IOActive yang telah melaporkan masalah ini.

  • Networking

    CVE-ID: CVE-2008-3612

    Tersedia untuk: iPhone v1.0 hingga v2.0.2

    Dampak: Pembuatan nomor urut awal TCP yang dapat diprediksi dapat mengakibatkan spoofing TCP atau pembajakan sesi

    Deskripsi: Nomor urut awal TCP dibuat secara berurutan. Nomor urut awal yang dapat diprediksi memungkinkan penyerang jarak jauh membuat koneksi TCP palsu atau memasukkan data ke dalam koneksi TCP yang sudah ada. Pembaruan ini mengatasi masalah tersebut dengan menghasilkan nomor urut awal TCP acak.

  • Passcode Lock

    CVE-ID: CVE-2008-3633

    Tersedia untuk: iPhone v2.0 hingga v2.0.2

    Dampak: Pengguna yang tidak sah dapat melewati Kunci Kode Sandi dan meluncurkan app iPhone

    Deskripsi: Fitur Kunci Kode Sandi dirancang untuk mencegah agar app tidak diluncurkan kecuali dengan memasukkan kode sandi yang benar. Masalah implementasi saat menangani panggilan darurat memungkinkan pengguna meluncurkan app tanpa kode sandi. Asalkan membawa iPhone, mereka dapat mengeklik dua kali tombol utama pada panggilan darurat untuk meluncurkan app. Pembaruan ini mengatasi masalah tersebut melalui penanganan panggilan darurat yang ditingkatkan. Terima kasih kepada Matthew Yohe dari Department of Electrical and Computer Engineering di University of Iowa karena telah melaporkan masalah ini. Masalah ini tidak terjadi pada iPhone sebelum versi v2.0.

  • WebKit

    CVE-ID: CVE-2008-3632

    Tersedia untuk: iPhone v1.0 hingga v2.0.2

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah penggunaan setelah pengosongan saat WebKit menangani pernyataan impor CSS. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui peningkatan penanganan referensi dokumen.

Tanggal Dipublikasikan: