Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
iOS 8.4
- Application Store
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App profil penyedia universal yang berbahaya dapat menyebabkan app tidak dapat dibuka
Deskripsi: Masalah muncul di logika penginstalan untuk aplikasi profil penyedia universal, sehingga benturan dapat terjadi pada ID bundel yang ada. Masalah ini telah diatasi dengan pemeriksaan benturan yang lebih baik.
CVE-ID
CVE-2015-3722 : Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas lalu lintas jaringan
Deskripsi: Sertifikat menengah salah diterbitkan oleh CNNIC otoritas sertifikat. Masalah ini telah diatasi dengan ditambahnya mekanisme untuk hanya memercayai subset sertifikat yang diterbitkan sebelum salah menerbitkan sertifikat menengah tersebut. Tersedia detail lebih lanjut mengenai daftar pengizinan keamanan yang dipercaya sebagian.
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pembaruan kebijakan kepercayaan sertifikat
Deskripsi: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di Toko Tepercaya iOS.
CFNetwork HTTPAuthentication
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baruDampak: Mengikuti URL perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat menangani informasi pengesahan URL tertentu. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3684 : Apple
CoreGraphics
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani profil ICC. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-3723 : chaithanya (SegFault) bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-3724 : WanderingGlitch dari Zero Day Initiative HP
CoreText
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul saat memproses file teks. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2015-1157
CVE-2015-3685 : Apple
CVE-2015-3686 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3687 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3688 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3689 : Apple
coreTLS
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS
Deskripsi: coreTLS menerima kunci Diffie-Hellman (DH) pendek sementara, seperti yang digunakan di rangkaian chiper DH sementara berkemampuan ekspor. Masalah ini, juga dikenal sebagai Logjam, menyebabkan penyerang dengan posisi jaringan hak istimewa menurunkan keamanan hingga 512-bit DH jika server mendukung rangkaian cipher DH sementara berkemampuan ekspor. Masalah ini telah diatasi dengan meningkatkan ukuran minimum default yang diizinkan untuk kunci sementara DH hingga 768 bit.
CVE-ID
CVE-2015-4000 : Tim weakdh di weakdh.org, Hanno Boeck
DiskImages
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah pengungkapan informasi terjadi saat memproses image disk. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3690 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
FontParser
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul saat memproses file font. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-ID
CVE-2015-3694 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-3719 : John Villamil (@day6reak), Tim Yahoo Pentest
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file .tiff perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat memproses file .tiff. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-ID
CVE-2015-3703 : Apple
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Beberapa kerentanan muncul di libtiff, yang paling serius dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa kerentanan muncul di libtiff versi sebelum 4.0.4. Masalah ini telah diatasi dengan memperbarui libtiff ke versi 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
- Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah pengelolaan memori muncul saat menangani parameter HFS yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2015-3721 : Ian Beer dari Google Project Zero
- Mail
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Email perusak yang berbahaya dapat mengganti konten pesan dengan halaman web arbitrer saat pesan dilihat
Deskripsi: Masalah muncul untuk mendukung email HTML sehingga konten pesan dapat disegarkan dengan halaman web arbitrer. Masalah ini telah diatasi melalui pembatasan dukungan untuk konten HTML.
CVE-ID
CVE-2015-3710 : Aaron Sigel dari vtty.com, Jan Souček
MobileInstallation
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: App profil penyedia universal yang berbahaya dapat menyebabkan app Watch tidak dapat dibuka
Deskripsi: Masalah muncul di logika penginstalan untuk aplikasi profil penyedia universal di Watch, sehingga benturan dapat terjadi pada ID bundel yang ada. Masalah ini telah diatasi dengan pemeriksaan benturan yang lebih baik.
CVE-ID
CVE-2015-3725 : Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat membahayakan informasi pengguna di sistem file
Deskripsi: Masalah pengelolaan kondisi muncul di Safari yang menyebabkan sumber tanpa hak istimewa mengakses konten di sistem file. Masalah ini telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-ID
CVE-2015-1155: Joe Vennix dari Rapid7 Inc. bekerja sama dengan Zero Day Initiative HP
- Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan akun diambil alih
Deskripsi: Masalah muncul saat Safari akan mempertahankan header permintaan Asal untuk pengalihan lintas asal, sehingga situs web berbahaya dapat memintas perlindungan CSRF. Masalah ini telah diatasi melalui penanganan pengalihan yang ditingkatkan.
CVE-ID
CVE-2015-3658 : Brad Hill dari Facebook
Security
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat muncul di kode bingkai Security untuk menguraikan email S/MIME dan beberapa objek lain yang ditandatangani atau dienkripsi. Masalah ini telah diatasi dengan pemeriksaan validitas yang lebih baik.
CVE-ID
CVE-2013-1741
SQLite
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa kelebihan buffer muncul di penerapan printf SQLite. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2015-3717 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HPSQLite
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Perintah SQL perusak yang berbahaya dapat mengakibatkan penghentian aplikasi tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah API yang terdapat pada fungsionalitas SQLite. Masalah ini telah diatasi dengan peningkatan pembatasan.
CVE-ID
CVE-2015-7036 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
Telephony
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Kartu SIM perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah validasi input muncul saat menguraikan muatan SIM/UIM. Masalah-masalah ini telah diatasi melalui validasi muatan yang lebih baik.
CVE-ID
CVE-2015-3726 : Matt Spisak dari Endgame
- WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web berbahaya dengan mengeklik tautan dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Masalah muncul saat menangani atribut rel dalam elemen anchor. Objek target dapat memperoleh akses tidak sah ke objek tautan. Masalah ini telah diatasi melalui kepatuhan jenis tautan yang lebih baik.
CVE-ID
CVE-2015-1156: Zachary Durber dari Moodle
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau kode arbitrer dieksekusi
Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-1152: Apple
CVE-2015-1153: Apple
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi halaman web perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah perbandingan yang tidak mencukupi muncul di pemberi kuasa SQLite sehingga invokasi fungsi SQL arbitrer dapat dilakukan. Masalah ini telah diatasi dengan peningkatan pemeriksaan pengesahan.
CVE-ID
CVE-2015-3659 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Situs web perusak yang berbahaya dapat mengakses database WebSQL dari situs web lain
Deskripsi: Masalah muncul di pemeriksaan pengesahan karena mengubah nama tabel WebSQL yang dapat menyebabkan situs web perusak yang berbahaya mengakses database milik situs web lain. Masalah ini telah diatasi melalui pemeriksaan pengesahan yang lebih baik.
CVE-ID
CVE-2015-3727 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP
Konektivitas Wi-Fi
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Perangkat iOS dapat terhubung secara otomatis dengan titik akses tidak tepercaya yang mengiklankan ESSID yang diketahui, tetapi dengan tipe keamanan yang diturunkan
Deskripsi: Masalah perbandingan yang tidak memadai muncul di evaluasi pengelola Wi-Fi dari iklan titik akses yang diketahui. Masalah ini telah diatasi melalui pencocokan parameter keamanan yang lebih baik.
CVE-ID
CVE-2015-3728 : Brian W. Gray dari Carnegie Mellon University, Craig Young dari TripWire