Mengenai konten keamanan Pembaruan Perangkat Lunak iOS 6.1

Dokumen ini menjelaskan konten keamanan iOS 6.1.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.

iOS 6.1

  • Layanan Identitas

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Autentikasi yang mengandalkan autentikasi ID Apple berbasis sertifikat dapat dipintas

    Keterangan: Ada masalah penanganan kesalahan dalam Layanan Identitas. Jika sertifikat AppleID pengguna gagal divalidasi, AppleID pengguna dianggap sebagai string kosong. Jika banyak sistem milik berbagai pengguna masuk dalam kondisi ini, aplikasi yang mengandalkan penentuan identitas ini bisa memberikan kepercayaan dengan salah. Masalah ini diatasi dengan memastikan bahwa NULL diberikan sebagai respons pengganti string kosong.

    CVE-ID

    CVE-2013-0963

  • Komponen Internasional untuk Unicode

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

    Deskripsi: Ada masalah kanonikalisasi saat menangani pengodean EUC-JP, yang dapat menyebabkan serangan skripting lintas situs pada situs web yang berkode EUC-JP. Masalah ini telah ditangani dengan memperbarui tabel pemetaan EUC-JP.

    CVE-ID

    CVE-2011-3058 : Masato Kinugawa

  • Kernel

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Proses mode pengguna mungkin dapat mengakses halaman pertama memori kernel

    Deskripsi: iOS kernel memiliki pengecekan untuk memvalidasi bahwa penunjuk dan panjang mode pengguna yang dimasukkan ke fungsi copyin dan copyout tidak akan menyebabkan proses mode pengguna dapat langsung mengakses memori kernel. Pengecekan tersebut tidak digunakan jika panjang kurang dari satu halaman. Masalah ini telah ditangani melalui validasi tambahan argumen terhadap copyin dan copyout.

    CVE-ID

    CVE-2013-0964 : Mark Dowd dari Azimuth Security

  • Keamanan

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

    Deskripsi: Beberapa sertifikat CA perantara dikeluarkan secara sembarangan oleh TURKTRUST. Hal ini memungkinkan pelaku serangan MITM (man-in-the-middle) untuk mengalihkan koneksi serta menangkap informasi pengesahan pengguna atau informasi rahasia lainnya. Masalah ini telah ditangani dengan tidak mengizinkan sertifikat SSL yang salah.

  • StoreKit

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: JavaScript bisa diaktifkan pada Mobile Safari tanpa interaksi pengguna

    Deskripsi: Jika pengguna menonaktifkan JavaScript di Preferensi Safari, mengunjungi situs yang menampilkan Smart App Banner akan mengaktifkan lagi JavaScript tanpa peringatan kepada pengguna. Masalah ini telah ditangani dengan tidak mengaktifkan JavaScript sewaktu mengunjungi situs dengan Smart App Banner.

    CVE-ID

    CVE-2013-0974 : Andrew Plotkin dari Zarfhome Software Consulting, Ben Madison dari BitCloud, Marek Durcek

  • WebKit

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau kode arbitrer dieksekusi

    Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2012-2857 : Arthur Gerkis

    CVE-2012-3606 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2012-3607 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2012-3621 : Skylined dari Tim Keamanan Google Chrome

    CVE-2012-3632 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2012-3687 : kuzzcc

    CVE-2012-3701 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0948 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0949 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0950 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0951 : Apple

    CVE-2013-0952 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0953 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0954 : Dominic Cooney dari Google dan Martin Barbella dari Tim Keamanan Google Chrome

    CVE-2013-0955 : Apple

    CVE-2013-0956 : Keamanan Produk Apple

    CVE-2012-2824 : miaubiz

    CVE-2013-0958 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0959 : Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome

    CVE-2013-0968 : Aaron Nelson

  • WebKit

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Menyalin dan menempel konten pada situs web berbahaya dapat menyebabkan serangan skripting lintas situs

    Deskripsi: Ada masalah skripting lintas situs saat menangani konten yang ditempel dari sumber yang berbeda. Masalah ini telah ditangani melalui validasi tambahan terhadap konten yang ditempel.

    CVE-ID

    CVE-2013-0962 : Mario Heiderich dari Cure53

  • WebKit

    Tersedia untuk: iPhone 3GS dan versi lebih baru, iPod touch (generasi ke-4) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

    Deskripsi: Ada masalah skripting lintas situs saat menangani elemen bingkai. Masalah ini telah diatasi melalui pelacakan sumber yang ditingkatkan.

    CVE-ID

    CVE-2012-2889 : Sergey Glazunov

  • Wi-Fi

    Tersedia untuk: iPhone 3GS, iPhone 4, iPod touch (generasi ke-4), iPad 2

    Dampak: Penyerang dari jarak jauh pada jaringan Wi-Fi yang sama mungkin dapat menonaktifkan Wi-Fi untuk sementara

    Deskripsi: Ada masalah pembacaan di luar batas pada penanganan elemen-elemen informasi 802.11i oleh firmware Broadcome BCM4325 dan BCM4329. Masalah ini telah ditangani melalui validasi tambahan terhadap elemen-elemen informasi 802.11i.

    CVE-ID

    CVE-2012-2619 : Andres Blanco dan Matias Eissler dari Core Security

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: