Mengenai konten keamanan iOS 9.1
Dokumen ini menjelaskan konten keamanan iOS 9.1.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengkonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
iOS 9.1
Percepatan Kerangka Kerja
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul di Percepatan Kerangka Kerja dalam mode multitopik. Masalah ini telah diatasi melalui peningkatan validasi elemen pengakses dan peningkatan penguncian objek.
CVE-ID
CVE-2015-5940 : Apple
Bom
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Kerentanan traversal file muncul saat menangani arsip CPIO. Masalah ini telah diatasi melalui validasi metadata yang lebih baik.
CVE-ID
CVE-2015-7006 : Mark Dowd di Azimuth Security
CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan cookie ditimpa
Penjelasan: Masalah penguraian muncul saat menangani cookie dengan huruf yang berbeda. Masalah ini telah diatasi melalui penguraian yang ditingkatkan.
CVE-ID
CVE-2015-7023 : Marvin Scholz dan Michael Lutonsky; Xiaofeng Zheng dan Jinjin Liang dari Tsinghua University, Jian Jiang dari University of California, Berkeley, Haixin Duan dari Tsinghua University dan International Computer Science Institute, Shuo Chen dari Microsoft Research Redmond, Tao Wan dari Huawei Canada, Nicholas Weaver dari International Computer Science Institute dan University of California, Berkeley, terkoordinasi melalui CERT/CC
configd
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya mungkin dapat meningkatkan hak istimewa
Penjelasan: Masalah kelebihan buffer berbasis tumpukan muncul di perpustakaan klien DNS. Aplikasi berbahaya yang dapat memalsukan respons dari layanan configd lokal mungkin dapat menyebabkan eksekusi kode arbitrer di klien DNS.
CVE-ID
CVE-2015-7015 : PanguTeam
CoreGraphics
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di CoreGraphics. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5925 : Apple
CVE-2015-5926 : Apple
CoreText
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul saat menangani file fon. Masalah tersebut telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-6975 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-6992 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-7017 : John Villamil (@day6reak), Tim Yahoo Pentest
Image Disk
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah kerusakan memori muncul saat menguraikan image disk. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-6995 : Ian Beer dari Google Project Zero
fonParser
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul saat menangani file fon. Masalah tersebut telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-5927 : Apple
CVE-2015-5942
CVE-2015-6976 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-6977 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-6978 : Jaanus Kp, Clarified Security, bekerja sama dengan Zero Day Initiative dari HP
CVE-2015-6990 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-6991 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-6993 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-7008 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-7009 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-7010 : John Villamil (@day6reak), Tim Yahoo Pentest
CVE-2015-7018 : John Villamil (@day6reak), Tim Yahoo Pentest
GasGauge
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Penjelasan: Masalah kerusakan memori muncul di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-6979 : PanguTeam
Grand Central Dispatch
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses paket perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat menangani panggilan pengiriman. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-6989 : Apple
Driver Grafis
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengeksekusi aplikasi berbahaya dapat menyebabkan eksekusi kode arbitrer dalam kernel
Penjelasan: Masalah ketidakjelasan jenis muncul di AppleVXD393. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-6986 : Proteas dari Tim Qihoo 360 Nirvan
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menampilkan file gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul saat menguraikan metadata gambar. Masalah tersebut telah diatasi melalui validasi metadata yang ditingkatkan.
CVE-ID
CVE-2015-5935 : Apple
CVE-2015-5936 : Apple
CVE-2015-5937 : Apple
CVE-2015-5939 : Apple
IOAcceleratorFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Penjelasan: Masalah kerusakan memori muncul di IOAcceleratorFamily. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-6996 : Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Penjelasan: Masalah kerusakan memori muncul di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-6974 : Luca Todesco (@qwertyoruiop)
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi lokal mungkin dapat menyebabkan penolakan layanan
Penjelasan: Masalah validasi input muncul di kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-ID
CVE-2015-7004 : Sergi Alvarez (pancake) dari Tim NowSecure Research
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mengeksekusi kode arbitrer
Penjelasan: Masalah memori yang tidak diinisialisasi muncul di kernel. Masalah ini telah diatasi melalui inisialisasi memori yang ditingkatkan.
CVE-ID
CVE-2015-6988 : The Brainy Code Scanner (m00nbsd)
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi lokal mungkin dapat menyebabkan penolakan layanan
Penjelasan: Masalah muncul saat menggunakan kembali memori virtual. Masalah ini telah diatasi dengan peningkatan validasi.
CVE-ID
CVE-2015-6994 : Mark Mentovai dari Google Inc.
mDNSResponder
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Terdapat beberapa korupsi memori di penguraian data DNS. Masalah tersebut telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-7987 : Alexandre Helie
mDNSResponder
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi lokal mungkin dapat menyebabkan penolakan layanan
Penjelasan: Masalah kesalahan derefensi penunjuk diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-7988 : Alexandre Helie
Pusat Pemberitahuan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pemberitahuan Telepon dan Pesan mungkin muncul di layar terkunci bahkan saat dinonaktifkan.
Penjelasan: Saat "Lihat Saat Layar Terkunci" dimatikan untuk Telepon dan Pesan, perubahan konfigurasi tidak langsung diterapkan. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-ID
CVE-2015-7000 : William Redwood dari Hampton School
OpenGL
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul di OpenGL. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-5924 : Apple
Keamanan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di dekoder ASN.1. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-7059 : David Keeler dari Mozilla
CVE-2015-7060 : Tyson Smith dari Mozilla
CVE-2015-7061 : Ryan Sleevi dari Google
Keamanan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Penjelasan: Masalah pengosongan ganda terjadi saat menangani deskriptor AtomicBufferedFile. Masalah ini telah diatasi melalui validasi deskriptor AtomicBufferedFile yang ditingkatkan.
CVE-ID
CVE-2015-6983 : David Benjamin, Greg Kerr, Mark Mentovai dan Sergey Ulanov dari Tim Chrome
Keamanan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dapat membuat sertifikat yang telah dicabut tampak valid
Penjelasan: Masalah validasi muncul di klien OCSP. Masalah ini telah diatasi dengan memeriksa waktu kedaluwarsa sertifikat OCSP.
CVE-ID
CVE-2015-6999 : Apple
Keamanan
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Evaluasi kepercayaan yang dikonfigurasi agar memerlukan pemeriksaan pencabutan dapat berhasil bahkan jika pemeriksaan pencabutan gagal
Penjelasan: Bendera kSecRevocationRequirePositiveResponse telah ditetapkan tetapi tidak diterapkan. Masalah ini telah diatasi dengan menerapkan bendera.
CVE-ID
CVE-2015-6997 : Apple
Telephony
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat membocorkan informasi pengguna yang rahasia
Penjelasan: Masalah terjadi saat pemeriksaan otorisasi untuk permintaan status panggilan telepon. Masalah ini telah diatasi melalui permintaan status otorisasi tambahan.
CVE-ID
CVE-2015-7022 : Andreas Kurtz dari NESO Security Labs
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Beberapa masalah kerusakan memori muncul di WebKit. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5928 : Apple
CVE-2015-5929 : Apple
CVE-2015-5930 : Apple
CVE-2015-6981
CVE-2015-6982
CVE-2015-7002 : Apple
CVE-2015-7005 : Apple
CVE-2015-7012 : Apple
CVE-2015-7014
CVE-2015-7104 : Apple
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.