Mengenai konten keamanan Pembaruan Perangkat Lunak iOS 4.2.7 untuk iPhone

Dokumen ini menjelaskan konten keamanan Pembaruan Perangkat Lunak iOS 4.2.7.

Dokumen ini menjelaskan konten keamanan Pembaruan Perangkat Lunak iOS 4.2.7, yang dapat diunduh dan diinstal menggunakan iTunes.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Perangkat Lunak iOS 4.2.7 untuk iPhone

• Certificate Trust Policy

  Tersedia untuk: iOS 4.2.5 sampai 4.2.6 untuk iPhone 4 (CDMA)

  Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mencegat kredensial pengguna atau informasi rahasia lainnya

  Deskripsi: Sejumlah sertifikat SSL palsu dikeluarkan oleh otoritas registrasi afiliasi Comodo. Hal ini dapat memungkinkan penyerang man-in-the-middle mengalihkan koneksi dan mencegat kredensial pengguna atau informasi rahasia lainnya. Masalah ini diatasi dengan memasukkan sertifikat palsu ke daftar hitam.

  Catatan: Untuk sistem Mac OS X, masalah ini diatasi dengan Pembaruan Keamanan 2011-002. Untuk sistem Windows, Safari mengandalkan stok sertifikat dari sistem operasi host untuk menentukan apakah suatu sertifikat server SSL dapat dipercaya. Menerapkan pembaruan yang dijelaskan di Artikel Basis Pengetahuan Microsoft 2524375 akan menyebabkan Safari menganggap sertifikat tersebut tidak tepercaya. Artikel ini tersedia di http://support.microsoft.com/kb/2524375

• QuickLook

  Tersedia untuk: iOS 4.2.5 sampai 4.2.6 untuk iPhone 4 (CDMA)

  Dampak: Membuka file Microsoft Office perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terdapat masalah kerusakan memori pada penanganan file Microsoft Office oleh QuickLook. Membuka file Microsoft Office perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

  CVE-ID

  CVE-2011-1417: Charlie Miller dan Dion Blazakis yang bekerja sama dengan Zero Day Initiative dari TippingPoint

• WebKit

  Tersedia untuk: iOS 4.2.5 sampai 4.2.6 untuk iPhone 4 (CDMA)

  Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terdapat masalah kelebihan bilangan bulat dalam penanganan nodeset. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

  CVE-ID

  CVE-2011-1290: Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp Weinmann, dan peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint

• WebKit

  Tersedia untuk: iOS 4.2.5 sampai 4.2.6 untuk iPhone 4 (CDMA)

  Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terdapat masalah use-after-free dalam penanganan node teks. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

  CVE-ID

  CVE-2011-1344: Vupen Security yang bekerja sama dengan Zero Day Initiative dari TippingPoint, dan Martin Barbella