Mengenai konten keamanan iOS 2.2 dan iOS 2.2 untuk iPod touch

Dokumen ini menjelaskan konten keamanan iOS 2.2 dan iOS 2.2 untuk iPod touch.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple.”

iOS 2.2 dan iOS 2.2 untuk iPod touch

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: CoreGraphics mengandung masalah kerusakan memori saat memproses argumen. Mengirimkan input yang tidak tepercaya ke CoreGraphics melalui suatu aplikasi, misalnya browser web, dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Michal Zalewski dari Google yang telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2008-2327

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Melihat gambar TIFF yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat beberapa masalah akses memori yang tidak diinisiasi dalam gambar TIFF enkode LZW yang ditangani oleh libTIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah melalui inisiasi memori yang benar dan validasi tambahan terhadap gambar TIFF.

  • ImageIO

    CVE-ID: CVE-2008-1586

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Melihat gambar TIFF yang berbahaya dapat menyebabkan perangkat diatur ulang secara tidak terduga

    Deskripsi: Terdapat masalah kekurangan memori dalam penanganan gambar TIFF. Melihat gambar TIFF yang berbahaya dapat menyebabkan perangkat diatur ulang secara tidak terduga. Pembaruan ini mengatasi masalah melalui pembatasan jumlah memori yang dialokasikan untuk membuka gambar TIFF. Terima kasih kepada Sergio 'shadown' Alvarez dari Recurity Labs GmbH yang telah melaporkan masalah ini.

  • Networking

    CVE-ID: CVE-2008-4227

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Tingkat enkripsi untuk koneksi PPTP VPN mungkin lebih rendah dari yang diharapkan

    Deskripsi: Tingkat enkripsi untuk koneksi PPTP VPN dapat kembali ke tingkat yang lebih lemah. Pembaruan ini mengatasi masalah melalui pengaturan preferensi enkripsi dengan tepat. Terima kasih kepada Stephen Butler dari University of Illinois of Urbana-Champaign yang telah melaporkan masalah ini.

  • Office Viewer

    CVE-ID: CVE-2008-4211

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Melihat file Microsoft Excel yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah penandatanganan saat Office Viewer menangani kolom di file Microsoft Excel dapat menyebabkan akses memori di luar batas. Melihat file Microsoft Excel yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah dengan memastikan bahwa nilai indeks yang terpengaruh tetap positif. Terima kasih kepada: Apple.

  • Passcode Lock

    CVE-ID: CVE-2008-4228

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Panggilan darurat tidak terbatas pada nomor darurat

    Deskripsi: iPhone memiliki kemampuan untuk melakukan panggilan darurat dalam keadaan terkunci. Saat ini, Anda dapat membuat panggilan darurat ke nomor apa pun. Orang yang dapat mengakses iPhone secara fisik dapat memanfaatkan fitur ini untuk melakukan panggilan arbitrer yang akan ditagihkan ke pemilik iPhone. Pembaruan ini mengatasi masalah dengan membatasi panggilan darurat ke serangkaian nomor telepon terbatas.

  • Passcode Lock

    CVE-ID: CVE-2008-4229

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Memulihkan perangkat dari pencadangan mungkin tidak dapat mengaktifkan ulang Kunci Kode Sandi

    Deskripsi: Fitur Kunci Kode Sandi dirancang untuk mencegah app tidak diluncurkan, kecuali Anda memasukkan kode sandi yang tepat. Kondisi pacu dalam penanganan pengaturan perangkat dapat menyebabkan Kunci Kode Sandi dihapus setelah perangkat dipulihkan dari pencadangan. Dengan begitu, orang yang dapat mengakses perangkat secara fisik dapat meluncurkan app tanpa kode sandi. Pembaruan ini mengatasi masalah melalui peningkatan kemampuan sistem untuk mengenali preferensi yang hilang. Masalah ini tidak memengaruhi sistem sebelum iOS 2.0 atau iOS 2.0 untuk iPod touch. Terima kasih kepada Nolen Scaife yang telah melaporkan masalah ini.

  • Passcode Lock

    CVE-ID: CVE-2008-4230

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Pesan Layanan Pesan Singkat (SMS) dapat dibuka sebelum kode sandi dimasukkan

    Deskripsi: Jika pesan SMS masuk sebelum layar panggilan darurat terlihat, seluruh pesan SMS akan ditampilkan, bahkan preferensi “Tampilkan Pratinjau SMS” diatur ke “MATI”. Pembaruan ini mengatasi masalah melalui, dalam situasi ini, hanya menampilkan pemberitahuan bahwa ada pesan SMS masuk, bukan kontennya.

  • Safari

    CVE-ID: CVE-2008-4231

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan elemen tabel HTML. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah melalui penanganan elemen tabel HTML yang disempurnakan. Terima kasih kepada Haifei Li dari FortiGuard Global Security Research Team di Fortinet yang telah melaporkan masalah ini.

  • Safari

    CVE-ID: CVE-2008-4232

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Situs web dengan elemen iframe tersemat mungkin rentan terhadap pemalsuan antarmuka pengguna

    Deskripsi: Safari memungkinkan elemen iframe untuk menampilkan konten di luar batasnya yang dapat menyebabkan pemalsuan antarmuka pengguna. Pembaruan ini mengatasi masalah dengan melarang elemen iframe menampilkan konten di luar batasnya. Masalah ini tidak memengaruhi sistem sebelum iOS 2.0 atau iOS 2.0 untuk iPod touch. Terima kasih kepada John Resig dari Mozilla Corporation yang telah melaporkan masalah ini.

  • CVE-ID: CVE-2008-4233 Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch Dampak: Mengunjungi situs web yang berbahaya dapat memulai panggilan telepon tanpa interaksi pengguna Deskripsi: Jika app diluncurkan melalui Safari saat dialog persetujuan panggilan ditampilkan, panggilan akan dilakukan. Ini dapat mengizinkan situs web yang berbahaya untuk memulai panggilan telepon tanpa interaksi pengguna. Selain itu, dalam situasi tertentu, situs web yang berbahaya dapat memblokir kemampuan pengguna untuk membatalkan panggilan telepon dalam jangka pendek. Pembaruan ini mengatasi masalah melalui penolakan dialog persetujuan panggilan Safari dengan tepat saat app diluncurkan melalui Safari. Terima kasih kepada Collin Mulliner dari Fraunhofer SIT yang telah melaporkan masalah ini.

    Safari

  • Webkit

    CVE-ID: CVE-2008-3644

    Tersedia untuk: iOS 1.0 hingga 2.1, iOS 1.1 hingga 2.1 untuk iPod touch

    Dampak: Informasi sensitif mungkin diungkapkan kepada orang dengan akses ke perangkat yang tidak terkunci

    Deskripsi: Menonaktifkan isi otomatis pada formulir mungkin tidak dapat mencegah agar data dalam bidang tidak disimpan di cache halaman browser. Ini dapat menyebabkan pengungkapan informasi sensitif kepada orang dengan akses fisik ke perangkat yang tidak terkunci. Pembaruan ini mengatasi masalah melalui penghapusan data formulir secara tepat. Terima kasih kepada peneliti anonim yang telah melaporkan masalah ini.

Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: