Mengenai konten keamanan iOS 8.4

Dokumen ini menjelaskan konten keamanan iOS 8.4.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

iOS 8.4

  • Application Store

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App profil penyedia universal yang berbahaya dapat menyebabkan app tidak dapat dibuka

    Deskripsi: Masalah muncul di logika penginstalan untuk app profil penyedia universal, sehingga benturan dapat terjadi pada ID bundel yang ada. Masalah ini telah diatasi dengan pemeriksaan benturan yang lebih baik.

    CVE-ID

    CVE-2015-3722 : Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas lalu lintas jaringan

    Deskripsi: Sertifikat menengah salah diterbitkan oleh CNNIC otoritas sertifikat. Masalah ini telah diatasi dengan ditambahnya mekanisme untuk hanya memercayai subset sertifikat yang diterbitkan sebelum salah menerbitkan sertifikat menengah tersebut. Tersedia detail lebih lanjut mengenai daftar pengizinan keamanan yang dipercaya sebagian.

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Pembaruan kebijakan kepercayaan sertifikat

    Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di Toko Tepercaya iOS.

  • CFNetwork HTTPAuthentication

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru Dampak: Mengikuti URL perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani informasi pengesahan URL tertentu. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-3684 : Apple

  • CoreGraphics

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani profil ICC. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3723 : chaithanya (SegFault) bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3724 : WanderingGlitch dari Zero Day Initiative HP

  • CoreText

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat memproses file teks. Masalah-masalah ini telah diatasi melalui pemeriksaan batas yang lebih baik.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685 : Apple

    CVE-2015-3686 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3687 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3688 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3689 : Apple

  • coreTLS

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS

    Deskripsi: coreTLS menerima kunci Diffie-Hellman (DH) pendek sementara, seperti yang digunakan di rangkaian chiper DN sementara berkemampuan ekspor. Masalah ini, juga dikenal sebagai Logjam, menyebabkan penyerang dengan posisi jaringan hak istimewa menurunkan keamanan hingga 512-bit DH jika server mendukung rangkaian cipher DH sementara berkemampuan ekspor. Masalah ini telah diatasi dengan meningkatkan ukuran minimum default yang diizinkan untuk kunci sementara DH hingga 768 bit.

    CVE-ID

    CVE-2015-4000 : Tim weakdh di weakdh.org, Hanno Boeck

  • DiskImages

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Masalah pengungkapan informasi terjadi saat memproses image disk. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3690 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • FontParser

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat memproses file fon. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2015-3694 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3719 : John Villamil (@day6reak), Tim Yahoo Pentest

  • ImageIO

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Memproses file .tiff perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat memproses file .tiff. Masalah ini telah diatasi dengan pemeriksaan batas yang lebih baik.

    CVE-ID

    CVE-2015-3703 : Apple

  • ImageIO

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Beberapa kerentanan muncul di libtiff, yang paling serius dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan muncul di libtiff versi sebelum 4.0.4. Masalah ini telah diatasi dengan memperbarui libtiff ke versi 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Masalah pengelolaan memori muncul saat menangani parameter HFS yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3721 : Ian Beer dari Google Project Zero
  • Mail

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Email perusak yang berbahaya dapat mengganti konten pesan dengan halaman web arbitrer saat pesan dilihat

    Deskripsi: Masalah muncul untuk mendukung email HTML sehingga konten pesan dapat disegarkan dengan halaman web arbitrer. Masalah ini telah diatasi melalui pembatasan dukungan untuk konten HTML.

    CVE-ID

    CVE-2015-3710 : Aaron Sigel dari vtty.com, Jan Souček
  • MobileInstallation

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: App profil penyedia universal yang berbahaya dapat menyebabkan app Watch tidak dapat dibuka

    Deskripsi: Masalah muncul di logika penginstalan untuk app profil penyedia universal di Watch, sehingga benturan dapat terjadi pada ID bundel yang ada. Masalah ini telah diatasi dengan pemeriksaan benturan yang lebih baik.

    CVE-ID

    CVE-2015-3725 : Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.

  • Safari

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat membahayakan informasi pengguna di sistem file

    Deskripsi: Masalah pengelolaan kondisi muncul di Safari yang menyebabkan sumber tanpa hak istimewa mengakses konten di sistem file. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

    CVE-ID

    CVE-2015-1155: Joe Vennix dari Rapid7 Inc. bekerja sama dengan Zero Day Initiative HP
     

  • Safari

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan akun diambil alih

    Deskripsi: Masalah muncul saat Safari akan mempertahankan header permintaan Asal untuk pengalihan lintas asal, sehingga situs web berbahaya dapat memintas perlindungan CSRF. Masalah ini telah diatasi melalui penanganan pengalihan yang lebih baik.

    CVE-ID

    CVE-2015-3658 : Brad Hill dari Facebook
  • Security

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat muncul di kode bingkai Security untuk menguraikan e-mail S/MIME dan beberapa objek lain yang ditandatangani atau dienkripsi. Masalah ini telah diatasi dengan pemeriksaan validitas yang lebih baik.

    CVE-ID

    CVE-2013-1741

  • SQLite

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa kelebihan buffer muncul di penerapan printf SQLite. Masalah-masalah ini telah diatasi melalui pemeriksaan batas yang lebih baik.

    CVE-ID

    CVE-2015-3717 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • SQLite

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Perintah SQL perusak yang berbahaya dapat mengakibatkan penghentian aplikasi tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah API yang terdapat pada fungsionalitas SQLite. Masalah ini telah diatasi dengan peningkatan pembatasan.

    CVE-ID

    CVE-2015-7036 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • Telephony

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Kartu SIM perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah validasi input muncul saat menguraikan muatan SIM/UIM. Masalah-masalah ini telah diatasi melalui validasi muatan yang lebih baik.

    CVE-ID

    CVE-2015-3726 : Matt Spisak dari Endgame

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web berbahaya dengan mengeklik tautan dapat mengakibatkan pemalsuan antarmuka pengguna

    Deskripsi: Masalah muncul saat menangani atribut rel dalam elemen anchor. Objek target dapat memperoleh akses tidak sah ke objek tautan. Masalah ini telah diatasi melalui kepatuhan jenis tautan yang lebih baik.

    CVE-ID

    CVE-2015-1156: Zachary Durber dari Moodle
  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau kode arbitrer dieksekusi

    Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Mengunjungi halaman web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah perbandingan yang tidak mencukupi muncul di pemberi kuasa SQLite sehingga invokasi fungsi SQL arbitrer dapat dilakukan. Masalah ini telah diatasi melalui pemeriksaan pengesahan yang lebih baik.

    CVE-ID

    CVE-2015-3659 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • WebKit

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Situs web perusak yang berbahaya dapat mengakses database WebSQL dari situs web lain

    Deskripsi: Masalah muncul di pemeriksaan pengesahan karena mengubah nama tabel WebSQL yang dapat menyebabkan situs web perusak yang berbahaya mengakses database milik situs web lain. Masalah ini telah diatasi melalui pemeriksaan pengesahan yang lebih baik.

    CVE-ID

    CVE-2015-3727 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • WiFi Connectivity

    Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru

    Dampak: Perangkat iOS dapat terhubung secara otomatis dengan titik akses tidak tepercaya yang mengiklankan ESSID yang diketahui, tetapi dengan tipe keamanan yang diturunkan

    Deskripsi: Masalah perbandingan yang tidak mencukupi di evaluasi pengelola Wi-Fi dari iklan titik akses yang diketahui. Masalah ini telah diatasi melalui pencocokan parameter keamanan yang lebih baik.

    CVE-ID

    CVE-2015-3728 : Brian W. Gray dari Carnegie Mellon University, Craig Young dari TripWire

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: