Mengenai konten keamanan iOS 8

Dokumen ini menjelaskan mengenai konten keamanan iOS 8.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.

iOS 8

  • 802.1X

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dapat memperoleh kredensial Wi-Fi

    Deskripsi: Penyerang dapat meniru titik akses Wi-Fi, menawarkan autentikasi dengan LEAP, merusak hash MS-CHAPv1, dan menggunakan kredensial yang diperolehnya untuk mengautentikasi titik akses yang dimaksudkan meski titik akses tersebut mendukung metode autentikasi yang lebih kuat. Masalah ini telah diatasi dengan menonaktifkan LEAP secara default.

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax, dan Wim Lamotte dari Universiteit Hasselt

  • Accounts

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengidentifikasi ID Apple pengguna

    Deskripsi: Terjadi masalah di kontrol akses logika untuk akun. Aplikasi yang terkena sandbox dapat memperoleh informasi mengenai akun iCloud yang aktif saat ini, mencakup nama akun tersebut. Masalah ini telah diatasi dengan membatasi akses ke jenis akun tertentu dari aplikasi yang tidak sah.

    CVE-ID

    CVE-2014-4423 : Adam Weaver

  • Accessibility

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Layar perangkat mungkin tidak mengunci saat AssistiveTouch digunakan

    Deskripsi: Terjadi masalah logika saat AssistiveTouch menangani peristiwa sehingga layar tidak mengunci. Masalah ini telah ditangani melalui penanganan timer kunci yang lebih baik.

    CVE-ID

    CVE-2014-4368 : Hendrik Bettermann

  • Accounts Framework

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan akses ke perangkat iOS mungkin dapat mengakses informasi sensitif pengguna dari log

    Deskripsi: Informasi sensitif pengguna disimpan dalam log. Masalah ini telah diatasi dengan mencatat lebih sedikit informasi.

    CVE-ID

    CVE-2014-4357 : Heli Myllykoski dari OP-Pohjola Group

  • Address Book

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Orang dengan akses fisik ke perangkat iOS mungkin dapat membaca buku alamat

    Deskripsi: Buku alamat dienkripsi dengan kunci yang dilindungi hanya oleh UID perangkat keras. Masalah ini telah diatasi dengan mengenkripsi buku alamat dengan kunci yang dilindungi oleh UID perangkat keras dan kode sandi pengguna.

    CVE-ID

    CVE-2014-4352 : Jonathan Zdziarski

  • App Installation

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang lokal mungkin dapat mengeskalasi hak istimewa dan menginstal app yang belum terverifikasi

    Deskripsi: Kondisi pacu terdapat di Penginstalan App. Penyerang yang memiliki kemampuan menulis ke /tmp bisa menginstal app yang belum diverifikasi. Masalah ini telah diatasi dengan menyusun file untuk penginstalan di direktori lain.

    CVE-ID

    CVE-2014-4386 : evad3rs

  • App Installation

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang lokal mungkin dapat mengeskalasi hak istimewa dan menginstal app yang belum terverifikasi

    Deskripsi: masalah traversal jalur di Penginstalan App. Penyerang lokal bisa menargetkan ulang validasi tanda tangan kode ke bundel yang berbeda dari yang sedang diinstal dan mengakibatkan penginstalan app yang belum diverifikasi. Masalah ini telah diatasi dengan mendeteksi dan mencegah eksploitasi jalur saat menentukan tanda tangan kode mana yang harus diverifikasi.

    CVE-ID

    CVE-2014-4384 : evad3rs

  • Assets

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat menyebabkan perangkat iOS menganggap sistemnya sudah terbaru meski pada kenyataannya tidak demikian

    Deskripsi: Masalah validasi terjadi saat penanganan respons pemeriksaan pembaruan. Tanggal palsu dari header respons Terakhir Diubah yang diatur menjadi tanggal yang akan datang digunakan untuk pemeriksaan Jika Dimodifikasi Sejak di permintaan pembaruan berikutnya. Masalah ini telah diatasi dengan validasi header Terakhir Diubah.

    CVE-ID

    CVE-2014-4383 : Raul Siles dari DinoSec

  • Bluetooth

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Bluetooth tiba-tiba aktif secara default setelah peningkatan iOS

    Deskripsi: Bluetooth aktif dengan sendirinya setelah peningkatan iOS. Masalah ini telah diatasi hanya dengan menyalakan Bluetooth untuk pembaruan versi besar atau kecil.

    CVE-ID

    CVE-2014-4354 : Maneet Singh, Sean Bluestein

  • Certificate Trust Policy

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pembaruan ke kebijakan kepercayaan sertifikat

    Deskripsi: kebijakan kepercayaan sertifikat diperbarui. Daftar lengkap sertifikat dapat dilihat di http://support.apple.com/HT5012.

  • CoreGraphics

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Terjadi kelebihan bilangan bulat saat penanganan file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano dari Binamuse VRT bekerja sama dengan iSIGHT Partners GVP Program

  • CoreGraphics

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Membuka file PDF perusak yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau pengungkapan informasi

    Deskripsi: Terjadi pembacaan memori di luar batas saat penanganan file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano dari Binamuse VRT bekerja sama dengan iSIGHT Partners GVP Program

  • Data Detectors

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengetuk tautan FaceTime di Mail akan serta-merta memicu panggilan audio FaceTime

    Deskripsi: Mail tidak memberikan permintaan kepada pengguna sebelum membuka URL facetime-audio://. Masalah ini telah diatasi dengan tambahan permintaan konfirmasi.

    CVE-ID

    CVE-2013-6835 : Guillaume Ross

  • Foundation

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App yang menggunakan NSXMLParser dapat disalahgunakan untuk mengungkapkan informasi

    Deskripsi: Masalah Entitas Eksternal XML terjadi saat NSXMLParser menangani XML. Masalah ini telah diatasi dengan tidak memuat entitas eksternal di sumber.

    CVE-ID

    CVE-2014-4374 : George Gal dari VSR (http://www.vsecurity.com/)

  • Home & Lock Screen

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App di latar belakang dapat menentukan app yang berada di paling depan

    Deskripsi: API privat untuk menentukan app yang paling depan tidak memiliki kontrol akses yang memadai. Masalah ini telah diatasi melalui kontrol akses tambahan.

    CVE-ID

    CVE-2014-4361 : Andreas Kurtz dari NESO Security Labs dan Markus Troßbach dari Heilbronn University

  • iMessage

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Lampiran mungkin tetap ada setelah iMessage atau MMS induk dihapus

    Deskripsi: Terdapat kondisi pacu pada penghapusan lampiran. Masalah ini telah diatasi dengan melakukan pemeriksaan tambahan pada apakah lampiran telah dihapus.

    CVE-ID

    CVE-2014-4353 : Silviu Schiau

  • IOAcceleratorFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baruDampak: App mungkin menyebabkan sistem tiba-tiba terhentiDeskripsi: Terdapat dereferensi penunjuk null pada penanganan argumen API IOAcceleratorFamily. Masalah ini telah diatasi melalui validasi yang ditingkatkan berupa argumen API IOAcceleratorFamily.CVE-IDCVE-2014-4369 : Sarah aka winocm dan Cererdlong dari Alibaba Mobile Security Team

    Impact: An application may cause an unexpected system termination

    Description: A null pointer dereference existed in the handling of IOAcceleratorFamily API arguments. This issue was addressed through improved validation of IOAcceleratorFamily API arguments.

    CVE-ID

    CVE-2014-4369 : Sarah aka winocm and Cererdlong of Alibaba Mobile Security Team

    • Entry updated February 3, 2020

  • IOAcceleratorFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Perangkat mungkin tiba-tiba memulai ulang

    Deskripsi: Terdapat dereferensi penunjuk null di driver IntelAccelerator. Masalah ini telah diatasi dengan penanganan kesalahan yang lebih baik.

    CVE-ID

    CVE-2014-4373 : cunzhang dari Adlab, Venustech

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat membaca penunjuk kernel sehingga bisa digunakan untuk melewati randomisasi tata letak ruang alamat kernel

    Deskripsi: Terjadi masalah pembacaan di luar batas saat penanganan fungsi IOHIDFamily. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4379 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat kelebihan buffer tumpukan saat IOHIDFamily menangani properti pemetaan kunci. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4404 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat dereferensi penunjuk null saat IOHIDFamily menangani properti pemetaan kunci. Masalah ini telah diatasi melalui validasi properti pemetaan kunci IOHIDFamily yang lebih baik.

    CVE-ID

    CVE-2014-4405 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Terjadi masalah penulisan di luar batas dalam ekstensi kernel IOHIDFamily. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4380 : cunzhang dari Adlab, Venustech

  • IOKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat membaca data yang tidak diinisasi dari memori kernel

    Deskripsi: Terjadi masalah akses memori yang tidak diinisiasi dalam penanganan fungsi IOKit. Masalah ini ditangani melalui inisialisasi memori yang ditingkatkan

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terjadi masalah validasi saat penanganan bidang metadata objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4418 : Ian Beer dari Google Project Zero

  • IOKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terjadi masalah validasi saat penanganan bidang metadata objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat kelebihan bilangan bulat saat penanganan fungsi IOKit. Masalah ini telah diatasi dengan peningkatan validasi argumen IOKit API.

    CVE-ID

    CVE-2014-4389 : Ian Beer dari Google Project Zero

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Terdapat beberapa masalah memori yang tidak diinisiasi dalam antarmuka statistik jaringan sehingga menyebabkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori tambahan.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna dari Google Security Team

    CVE-2014-4419 : Fermin J. Serna dari Google Security Team

    CVE-2014-4420 : Fermin J. Serna dari Google Security Team

    CVE-2014-4421 : Fermin J. Serna dari Google Security Team

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Orang dengan posisi jaringan yang memiliki hak istimewa dapat mengakibatkan penolakan layanan

    Deskripsi: Terdapat masalah kondisi pacu saat penanganan paket Ipv6. Masalah ini telah diatasi dengan pemeriksaan kondisi kunci yang ditingkatkan.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal mungkin dapat menyebabkan sistem tiba-tiba terhenti atau eksekusi kode arbitrer di dalam kernel

    Deskripsi: Terjadi masalah pengosongan ganda dalam penanganan port Mach. Masalah ini telah diatasi melalui validasi port Mach yang lebih baik.

    CVE-ID

    CVE-2014-4375 : peneliti anonim

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal mungkin dapat menyebabkan sistem tiba-tiba terhenti atau eksekusi kode arbitrer di dalam kernel

    Deskripsi: Terjadi masalah pembacaan di luar batas dalam rt_setgate. Hal ini dapat mengakibatkan pengungkapan memori atau kerusakan memori. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Sejumlah upaya penguatan kernel mungkin terlewati

    Deskripsi: Pembuat nomor acak yang digunakan untuk upaya penguatan kernel di awal proses boot tidak aman secara kriptografi. Beberapa outputnya dapat ditunjukkan dari ruang pengguna, sehingga pemintasan pengukur penguatan dapat dilakukan. Masalah ini telah diatasi dengan menggunakan algoritma yang aman dalam segi kriptografi.

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt dari Azimuth Security

  • Libnotify

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa root

    Deskripsi: Terjadi masalah penulisan di luar batas dalam Libnotify. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4381 : Ian Beer dari Google Project Zero

  • Lockdown

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Perangkat dapat dimanipulasi agar menampilkan Layar Utama saat perangkat dikunci dengan Kunci Aktivasi

    Deskripsi: Terjadi masalah dengan perilaku penguncian yang menyebabkan perangkat membuka Layar Utama meski seharusnya berada dalam kondisi terkunci dengan Kunci Aktivasi. Alamat ini telah diatasi dengan mengubah informasi yang diverifikasi perangkat selama permintaan membuka perangkat yang dikunci.

    CVE-ID

    CVE-2014-1360

  • Mail

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Kredensial masuk dapat dikirimkan dalam teks biasa meski server telah memberikan kapabilitas IMAP LOGINDISABLED

    Deskripsi: Mail mengirimkan perintah LOGIN ke server meski server telah menawarkan memberikan IMAP LOGINDISABLED. Masalah ini biasanya dikhawatirkan saat terhubung ke server yang dikonfigurasi untuk menerima koneksi non-enkripsi dan memperlihatkan LOGINDISABLED. Masalah ini telah diatasi dengan menerima kemampuan LOGINDISABLED IMAP.

    CVE-ID

    CVE-2014-4366 : Mark Crispin

  • Mail

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Orang dengan akses fisik ke perangkat iOS mungkin dapat membaca lampiran email

    Deskripsi: Terdapat masalah logika dalam penggunaan Perlindungan Data oleh Mail pada lampiran email. Masalah ini telah diatasi dengan mengatur jenis Perlindungan Data untuk lampiran email dengan benar.

    CVE-ID

    CVE-2014-1348 : Andreas Kurtz dari NESO Security Labs

  • Profiles

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Panggilan Suara tiba-tiba aktif setelah peningkatan iOS

    Deskripsi: Panggilan Suara aktif dengan sendirinya setelah peningkatan iOS. Masalah ini telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

    CVE-ID

    CVE-2014-4367 : Sven Heinemann

  • Safari

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Kredensial pengguna mungkin terungkap ke situs yang tidak diinginkan melalui pengisian otomatis

    Deskripsi: Safari mungkin mengisikan nama pengguna dan kata sandi secara otomatis ke subframe dari domain selain frame utama. Masalah ini telah diatasi melalui pelacakan sumber yang ditingkatkan.

    CVE-ID

    CVE-2013-5227 : Niklas Malmgren dari Klarna AB

  • Safari

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin menyadap kredensial pengguna

    Deskripsi: Kata sandi yang disimpan otomatis diisikan ke situs http, situs https dengan kepercayaan yang rusak, dan dalam iFrame. Masalah ini telah diatasi dengan membatasi pengisian otomatis kata sandi pada bingkai utama situs https dengan rantai sertifikat yang valid.

    CVE-ID

    CVE-2014-4363 : David Silver, Suman Jana, dan Dan Boneh dari Stanford University yang bekerja sama dengan Eric Chen dan Collin Jackson dari Carnegie Mellon University

  • Safari

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat memalsukan URL di Safari

    Deskripsi: Terdapat inskonsistensi antarmuka pengguna di Safari pada perangkat dengan MDM yang aktif. Masalah ini telah diatasi dengan pemeriksaan konsistensi antarmuka pengguna yang lebih baik.

    CVE-ID

    CVE-2014-8841 : Angelo Prado dari Keamanan Produk Salesforce

  • Sandbox Profiles

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Informasi ID Apple dapat diakses oleh app pihak ketiga

    Deskripsi: Terdapat masalah pengungkapan informasi dalam sandbox app pihak ketiga. Masalah ini telah diatasi dengan meningkatkan profil sandbox pihak ketiga.

    CVE-ID

    CVE-2014-4362 : Andreas Kurtz dari NESO Security Labs dan Markus Troßbach dari Heilbronn University

  • Settings

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pratinjau pesan teks mungkin muncul di layar kunci meski fitur ini dinonaktifkan

    Deskripsi: Terjadi masalah perihal pratinjau pemberitahuan pesan teks di layar kunci. Akibatnya, isi pesan yang diterima akan ditampilkan di layar terkunci sekalipun pratinjau dinonaktifkan di Pengaturan. Masalah ini telah diatasi melalui pengamatan yang lebih baik dari pengaturan ini.

    CVE-ID

    CVE-2014-4356 : Mattia Schirinzi dari San Pietro Vernotico (BR), Italia

  • syslog

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengubah izin di file arbitrer

    Deskripsi: syslogd mengikuti tautan simbolis saat mengubah izin pada file. Masalah ini telah diatasi melalui penanganan tautan simbolis yang lebih baik.

    CVE-ID

    CVE-2014-4372 : Tielei Wang dan YeongJin Jang dari Georgia Tech Information Security Center (GTISC)

  • Weather

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Informasi lokasi terkirim tanpa dienkripsi

    Deskripsi: Terjadi masalah pengungkapan informasi di API yang digunakan untuk menentukan cuaca lokal. Masalah ini telah diatasi dengan mengubah API.

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Situs web berbahaya mungkin dapat melacak pengguna, bahkan yang sudah mengaktifkan penelusuran pribadi

    Deskripsi: App web dapat menyimpan data cache app HTML 5 selama penelusuran normal, lalu membaca data selama penelusuran pribadi. Masalah ini telah diatasi dengan menonaktifkan akses ke cache aplikasi saat dalam mode penelusuran pribadi.

    CVE-ID

    CVE-2014-4409 : Yosuke Hasegawa (NetAgent Co., Led.)

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi atau eksekusi kode arbitrer yang tidak diharapkan

    Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2013-6663 : Atte Kettunen dari OUSPG

    CVE-2014-1384 : Apple

    CVE-2014-1385 : Apple

    CVE-2014-1387 : Google Chrome Security Team

    CVE-2014-1388 : Apple

    CVE-2014-1389 : Apple

    CVE-2014-4410 : Eric Seidel dari Google

    CVE-2014-4411 : Google Chrome Security Team

    CVE-2014-4412 : Apple

    CVE-2014-4413 : Apple

    CVE-2014-4414 : Apple

    CVE-2014-4415 : Apple

  • Wi-Fi

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Perangkat mungkin dapat dilacak secara pasif oleh alamat MAC Wi-Fi perangkat tersebut

    Deskripsi: Terjadi pengungkapan informasi karena alamat MAC yang stabil digunakan untuk memindai jaringan Wi-Fi. Masalah ini telah diatasi dengan mengacak alamat MAC untuk pemindaian Wi-Fi yang pasif.

Catatan:

iOS 8 terdiri dari perubahan pada beberapa kemampuan diagnostik. Untuk mengetahui detailnya, cari tahu di http://support.apple.com/kb/HT6331

iOS 8 sekarang mengizinkan perangkat untuk mencurigai semua komputer tepercaya sebelumnya. Petunjuk dapat ditemukan di http://support.apple.com/HT5868

FaceTime hanya tersedia di negara atau wilayah tertentu.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: