Mengenai konten keamanan iOS 4.2
Dokumen ini menjelaskan konten keamanan iOS 4.2, yang dapat diunduh dan diinstal menggunakan iTunes.
Dokumen ini menjelaskan keamanan konten iOS 4.2, yang dapat diunduh dan diinstal menggunakan iTunes.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
iOS 4.2
Profil Konfigurasi
CVE-ID: CVE-2010-3827
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Pengguna dapat disesatkan hingga menginstal profil konfigurasi perusak yang berbahaya
Deskripsi: Masalah validasi tanda tangan terjadi saat menangani profil konfigurasi. Profil konfigurasi perusak yang berbahaya akan tampak memiliki tanda tangan yang sah di utilitas penginstalan konfigurasi. Masalah ini diatasi melalui peningkatan validasi tanda tangan profil. Kredit untuk Barry Simpson dari Bomgar Corporation atas pelaporan masalah ini.
CoreGraphics
CVE-ID: CVE-2010-2805, CVE-2010-2806, CVE-2010-2807, CVE-2010-2808, CVE-2010-3053, CVE-2010-3054
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Beberapa kerentanan di FreeType 2.4.1
Deskripsi: Beberapa kerentanan terjadi di FreeType 2.4.1, yang paling serius dapat menyebabkan eksekusi kode arbitrer saat memproses fon perusak yang berbahaya. Masalah ini diatasi dengan memperbarui FreeType ke versi 2.4.2. Informasi lebih lanjut tersedia melalui situs FreeType di http://www.freetype.org/
FreeType
CVE-ID: CVE-2010-3814
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Menampilkan dokumen PDF dengan tempelan fon perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Tumpukan kelebihan buffer terjadi saat FreeType menangani opcode TrueType. Menampilkan dokumen PDF dengan tempelan fon perusak yang berbahaya dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas-batas yang ditingkatkan.
Layar Konten iAd
CVE-ID: CVE-2010-3828
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Penyerang di posisi jaringan istimewa dapat menyebabkan panggilan dimulai
Deskripsi: Masalah penanganan URL terjadi di Layar Konten iAd. iAd diminta oleh app, baik secara otomatis atau melalui tindakan eksplisit pengguna. Dengan menginjeksi konten iklan yang diminta dengan tautan yang berisi skema URL yang digunakan untuk memulai panggilan, penyerang pada posisi jaringan yang istimewa dapat menyababkan panggilan terjadi. Masalah ini diatasi dengan memastikan bahwa pengguna diminta sebelum panggilan dimulai dari tautan. Kredit untuk Aaron Sigel dari vtty.com atas pelaporan masalah ini.
ImageIO
CVE-ID: CVE-2010-2249, CVE-2010-1205
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Beberapa kerentanan di libpng
Deskripsi: libpng diperbarui ke versi 1.4.3 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html
libxml
CVE-ID: CVE-2010-4008
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi di penanganan xpath libxml. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan xpaths. Kredit untuk Bui Quang Minh dari Bkis (www.bkis.com) atas pelaporan masalah ini.
Mail
CVE-ID: CVE-2010-3829
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mail dapat menyelesaikan nama DNS saat pemuatan gambar jarak jauh dinonaktifkan.
Deskripsi: Saat WebKit menemui Elemen Tautan HTML yang meminta pra-pengambilan DNS, WebKit akan melakukan pra-pengambilan bahkan jika pemuatan gambar jarak jauh dinonaktifkan. Hal ini menyebabkan permintaan yang tidak diinginkan untuk server jarak jauh. Pengirim pesan email berformat HTML dapat menggunakan ini untuk menentukan apakah pesan telah dilihat. Masalah ini diatasi dengan menonaktifkan pra-pengambilan DNS saat pemuatan gambar jarak jauh dinonaktifkan. Kredit untuk Mike Cardwell dari Cardwell IT Ltd. atas pelaporan masalah ini.
Jaringan
CVE-ID: CVE-2010-1843
Tersedia untuk: iOS 4.0 hingga 4.1 untuk iPhone 3GS dan versi lebih baru, iOS 4.0 hingga 4.1 untuk iPod touch (generasi ke-3), iOS 3.2 hingga iOS 3.2.2 untuk iPad
Dampak: Penyerang jarak jauh dapat menyebabkan penutupan sistem yang tidak diduga
Deskripsi: Masalah pengaksesan alamat penunjuk nol terjadi saat menangani paket Protocol Independent Multicast (PIM). Dengan mengirim paket PIM perusak yang berbahaya, penyerang jarak jauh dapat mengakibatkan penutupan sistem yang tidak diduga. Masalah ini diatasi melalui peningkatan validasi paket PIM. Kredit untuk peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint atas pelaporan masalah ini. Masalah ini tidak memengaruhi perangkat yang menjalankan versi iOS sebelum versi 3.2.
Jaringan
CVE-ID: CVE-2010-3830
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Kode yang berbahaya dapat memperoleh hak istimewa sistem
Deskrispi: Referensi penunjuk yang tidak valid terjadi di Jaringan saat menangani aturan filter paket. Hal ini memungkinkan kode berbahaya yang dijalankan pada sesi pengguna untuk memperoleh hak istimewa sistem. Masalah ini dapat diatasi melalui peningkatan penanganan aturan filter paket.
OfficeImport
CVE-ID: CVE-2010-3786
Tersedia untuk: iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Menampilkan file Excel perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat OfficeImport menangani file Excel. Menampilkan file Excel perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas-batas yang ditingkatkan. Masalah ini diatasi di iPhone di iOS 4. Kredit untuk Tobias Klein, yang bekerja sama dengan VeriSign iDefense Labs atas pelaporan masalah ini.
Kunci Kode Sandi
CVE-ID: CVE-2010-4012
Tersedia untuk: iOS 4.0 hingga 4.1 untuk iPhone 3G dan versi yang lebih baru
Dampak: Seseorang dengan akses fisik ke perangkat mungkin dapat mengakses data pengguna.
Deskripsi: Masalah kondisi pacu terjadi saat penanganan panggilan darurat. Dengan menekan tombol Tidur/Bangun segera setelah memulai panggilan dari layar Panggilan Darurat, seseorang mungkin dapat melewati kunci kode sandi. Masalah ini diatasi melalui peningkatan pemeriksaan keadaan kunci.
Foto
CVE-ID: CVE-2010-3831
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: "Kirim ke MobileMe" dapat menyebabkan pengungkapan kata sandi akun MobileMe
Deskripsi: App Foto memungkinkan pengguna untuk membagikan gambar dan film mereka melalui berbagai cara. Salah satu caranya adalah tombol "Kirim ke MobileMe", yang mengunggah konten terpilih ke Galeri MobileMe pengguna. App Foto akan menggunakan pengesahan Dasar HTTP jika tidak ada mekanisme pengesahan lain yang disediakan oleh server. Penyerang dengan posisi jaringan istimewa dapat memanipulasi respons Galeri MobileMe untuk meminta pengesahan dasar, yang menyebabkan pengungkapan kata sandi akun MobileMe. Masalah ini diatasi dengan menonaktifkan dukungan untuk pengesahan Dasar. Kredit untuk Aaron Sigel dari vtty.com atas pelaporan masalah ini.
Safari
CVE-ID: CVE-2009-1707
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: "Atur Ulang Safari" tidak secara langsung menghapus kata sandi situs web dari memori
Deskripsi: Setelah mengeklik tombol "Atur Ulang" untuk "Atur Ulang nama dan kata sandi tersimpan" di pilihan menu "Atur Ulang Safari...", Safari membutuhkan waktu hingga 30 detik untuk menghapus kata sandi. Pengguna dengan akses ke perangkat pada jendela waktu tersebut mungkin dapat mengakses informasi pengesahan yang tersimpan. Masalah ini diatasi dengan menyelesaikan kondisi pacu yang menyebabkan penundaan. Kredit untuk Philiippe Couturier dari izypage.com, dan Andrew Wellington dari The Australian National University atas pelaporan masalah ini.
Telefoni
CVE-ID: CVE-2010-3832
Tersedia untuk: iOS 2.0 hingga 4.1 untuk iPhone 3G dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Penyerang jarak jauh mungkin dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Tumpukan kelebihan buffer terjadi saat penanganan bidang Temporary Mobile Subscriber Identity (TMSI) di manajemen mobilitas GSM. Hal ini memungkinkan penyerang jarak jauh menyebabkan eksekusi kode arbitrer pada prosesor baseband. Masalah ini diatasi melalui pemeriksaan batas-batas yang ditingkatkan. Kredit untuk Ralf-Philipp Weinmann dari University of Luxembourg atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3803
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat terjadi di WebKit saat menangani string. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas-batas yang ditingkatkan. Kredit untuk J23 atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3824
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan terjadi di WebKit saat menangani elemen "penggunaan" dalam dokumen SVG. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan memori. Kredit untuk wushi dari team509 atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3816
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan terjadi di WebKit saat menangani bar gulir. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan memori. Kredit untuk Rohit Makasana dari Google Inc. atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3809
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah cast yang tidak valid terjadi di WebKit saat menangani gaya sebaris. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan gaya sebaris. Kredit untuk Abishek Arya (Inferno) dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3810
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Situs web perusak yang berbahaya dapat menipu alamat di bar lokasi atau menambahkan lokasi arbitrer ke riwayat
Deskripsi: Masalah lintas sumber terjadi saat WebKit menangani objek Riwayat. Dampak: Situs web perusak yang berbahaya dapat menipu alamat di bar lokasi atau menambahkan lokasi arbitrer ke riwayat. Masalah ini diatasi melalui peningkatan pelacakan sumber keamanan. Kredit untuk Mike Taylor dari Opera Software atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3805
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kekurangan bilangan bulat terjadi saat WebKit menangani WebSockets. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas-batas yang ditingkatkan. Kredit untuk Keith Campbell, dan Cris Neckar dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3823
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah penggunaan setelah pengosongan terjadi saat WebKit menangani objek Geolokasi. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan memori. Kredit untuk kuzzcc atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3116
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah penggunaan setelah pengosongan terjadi di WebKit saat menangani plug-in. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan memori.
WebKit
CVE-ID: CVE-2010-3812
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat terjadi saat WebKit menangani objek Teks. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas-batas yang ditingkatkan. Kredit untuk J23 yang bekerja sama dengan Zero Day Initiative dari TippingPoint atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3808
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah cast yang tidak valid terjadi saat WebKit menangani perintah edit. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan perintah edit. Kredit untuk wushi dari team509 atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3259
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan pengungkapan data gambar dari situs web lain
Deskripsi: Masalah lintas sumber terjadi saat WebKit menangani gambar yang terbuat dari elemen 'kanvas". Mengunjungi situs web yang berbahaya dapat menyebabkan pengungkapan data gambar dari situs web lain. Masalah ini diatasi melalui peningkatan pelacakan sumber keamanan. Kredit untuk Isaac Dawson dan James Qiu dari Microsoft dan Microsft Vulnerability Research (MSVR) atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-1822
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah cast yang tidak valid terjadi saat WebKit menangani elemen SVG dalam dokumen non SVG. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan elemen SVG. Kredit untuk wushi dari team509 atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3811
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah penggunaan setelah pengosongan terjadi saat WebKit menangani atribut elemen. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan memori. Kredit untuk Michal Zalewsi atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3817
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah cast yang tidak valid terjadi saat WebKit menangani transformasi CSS 3D. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan transformasi CSS 3D. Kredit untuk Abishek Arya (Inferno) dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3818
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah penggunaan setelah pengosongan terjadi saat WebKit menangani kotak teks sebaris. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan memori. Kredit untuk Abishek Arya (Inferno) dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3819
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah cast yang tidak valid terjadi saat WebKit menangani kotak CSS. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan kotak CSS. Kredit untuk Abishek Arya (Inferno) dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3820
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah akses memori yang tidak diinisialisasi terjadi saat WebKit menangani elemen yang dapat diedit. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan elemen yang dapat diedit. Kredit: Apple.
WebKit
CVE-ID: CVE-2010-1789
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Tumpukan kelebihan buffer terjadi saat WebKit menangani objek string JavaScript. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas-batas yang ditingkatkan. Kredit: Apple.
WebKit
CVE-ID: CVE-2010-1806
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan terjadi di WebKit saat menangani elemen dengan gaya run-in. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan penunjuk objek. Kredit untuk wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3257
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah penggunaan setelah pengosongan terjadi saat WebKit menangani fokus elemen. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan manajemen memori. Kredit untuk VUPEN Vulnerabilty Research Team atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3826
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah cast yang tidak valid terjadi saat WebKit menangani warna dalam dokumen SVG. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan warna dalam dokumen SVG. Kredit untuk Abishek Arya (Inferno) dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-1807
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah validasi input terjadi saat WebKit menangani jenis data titik apung. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan nilai titik apung. Kredit untuk Luke Wagner dari Mozilla atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3821
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat WebKit menangani elemen palsu ':huruf pertama' di lembar gaya berjenjang. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan elemen palsu ';huruf pertama'. Kredit untuk Cris Neckar dan Abishek Arya (Inferno) dari Tim Keamanan Google Chrome atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3804
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Situs web dapat secara diam-diam melacak pengguna
Deskripsi: Safari menghasilkan nomor acak untuk aplikasi JavaScript menggunakan alogaritma yang dapat diprediksi. Hal ini memungkinkan situs web melacak sesi Safari tertentu tanpa menggunakan cookie, elemen bentuk tersembunyi, alamat IP, atau teknik lainnya. Pembaruan ini mengatasi masalah dengan menggunakan penghasil nomor acak yang lebih kuat. Kredit untuk Amit Klein dari Trusteer atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3813
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: WebKit dapat melakukan pra-pengambilan DNS bahkan saat dinonaktifkan.
Deskripsi: Saat WebKit menemui Elemen Tautan HTML yang meminta pra-pengambilan DNS, WebKit akan melakukan operasi tersebut bahkan jika pra-pengambilan dinonaktifkan. Hal ini menyebabkan permintaan yang tidak diinginkan untuk server jarak jauh. Sebagai contoh, pengirim pesan email berformat HTML dapat menggunakan ini untuk menentukan bahwa pesan itu telah dibaca. Masalah ini diatasi melalui peningkatan penanganan permintaan pra-pengambilan DNS. Kredit untuk Jeff Johnson dari Rogue Amoeba Software atas pelaporan masalah ini.
WebKit
CVE-ID: CVE-2010-3822
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penunjuk yang tidak diinisialisasi terjadi saat WebKit menangani gaya berlawanan CSS. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan gaya berlawanan CSS. Kredit untuk kuzzcc atas pelaporan masalah ini.
WebKit
Tersedia untuk: iOS 2.0 hingga 4.1. untuk iPhone 3G dan versi lebih baru, iOS 2.1 hingga 4.1 untuk iPod touch (generasi ke-2) dan versi lebih baru, iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Situs web perusak yang berbahaya dapat menentukan situs mana yang telah dikunjungi pengguna.
Deskripsi: Masalah desain terjadi saat WebKit menangani :visited pseudo-class CSS. Situs web perusak yang berbahaya dapat menentukan situs mana yang telah dikunjungi pengguna. Pembaruan ini membatasi kemampuan laman web untuk menandai laman berdasarkan apakah tautan dikunjungi.
Beberapa komponen
CVE-ID: CVE-2010-0051, CVE-2010-0544, CVE-2010-0042, CVE-2010-1384, CVE-2010-1387, CVE-2010-1392, CVE-2010-1394, CVE-2010-1403, CVE-2010-1405, CVE-2010-1407, CVE-2010-1408, CVE-2010-1410, CVE-2010-1414, CVE-2010-1415, CVE-2010-1416, CVE-2010-1417, CVE-2010-1418, CVE-2010-1421, CVE-2010-1422, CVE-2010-1757, CVE-2010-1758, CVE-2010-1764, CVE-2010-1770, CVE-2010-1771, CVE-2010-1780, CVE-2010-1781, CVE-2010-1782, CVE-2010-1783, CVE-2010-1784, CVE-2010-1785, CVE-2010-1786, CVE-2010-1787, CVE-2010-1788, CVE-2010-1791, CVE-2010-1793, CVE-2010-1811, CVE-2010-1812, CVE-2010-1813, CVE-2010-1814, CVE-2010-1815
Tersedia untuk: iOS 3.2 hingga 3.2.2 untuk iPad
Dampak: Beberapa perbaikan keamanan di iOS untuk iPad
Deskripsi: Pembaruan ini menggabungkan perbaikan keamanan yang disediakan untuk iPhone dan iPod touch di iOS 4 dan iOS 4.1.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.