Tentang pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID bila memungkinkan.
iOS 9.3.3
Dirilis 18 Juli 2016
Kalender
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Kalender yang dibuat untuk maksud jahat dapat menyebabkan perangkat tiba-tiba memulai ulang
Deskripsi: Dereferensi penunjuk null telah diatasi melalui peningkatan penanganan memori.
CVE-2016-4605: Henry Feldman MD di Beth Israel Deaconess Medical Center
Kredensial CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah penurunan muncul dengan kredensial pengesahan HTTP yang disimpan di Rantai Kunci. Masalah ini telah diatasi dengan menyimpan jenis pengesahan dengan kredensial.
CVE-2016-4644: Jerry Decime dikoordinasi melalui CERT
Proxy CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah validasi muncul saat menguraikan respons 407. Masalah ini telah diatasi melalui validasi respons yang ditingkatkan.
CVE-2016-4643: Xiaofeng Zheng dari Tim Blue Lotus, Tsinghua University; Jerry Decime dikoordinasi melalui CERT
Proxy CFNetwork
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi mungkin dapat diam-diam mengirim kata sandi tidak terenkripsi melalui jaringan
Deskripsi: Pengesahan proxy salah melaporkan proxy HTTP yang menerima kredensial dengan aman. Masalah ini telah diatasi melalui peringatan yang ditingkatkan.
CVE-2016-4642: Jerry Decime dikoordinasi melalui CERT
CoreGraphics
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4637: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengakibatkan panggilan yang direlai yang akan terus-menerus mentransmisi audio meskipun panggilan terlihat telah dihentikan
Deskripsi: Ketidaksesuaian antarmuka pengguna muncul saat menangani panggilan yang direlai. Masalah-masalah ini telah diatasi melalui logika tampilan FaceTime yang ditingkatkan.
CVE-2016-4635: Martin Vigo
GasGauge
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7576: qwertyoruiop
Entri ditambahkan 27 September 2016
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4632: Evgeny Sidorov dari Yandex
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4631: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7705: Craig Young dari Tripwire VERT
Entri ditambahkan pada 30 November 2017
IOAcceleratorFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.
CVE-2016-4628: Ju Zhu dari Trend Micro
IOAcceleratorFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang ditingkatkan.
CVE-2016-4627: Ju Zhu dari Trend Micro
IOHIDFamily
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4626: Stefan Esser dari SektionEins
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-1863: Ian Beer dari Google Project Zero
CVE-2016-4653: Ju Zhu dari Trend Micro
CVE-2016-4582: Shrek_wzw dan Proteas dari Qihoo 360 Nirvan Team
Kernel
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent
Libc
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan aliran buffer muncul dalam fungsi "link_ntoa()" di linkaddr.c. Masalah ini diatasi dengan pemeriksaan batas tambahan.
CVE-2016-6559: Apple
Entri ditambahkan pada 10 Januari 2017
libxml2
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Beberapa kerentanan dalam libxml2
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-4447: Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
Entri diperbarui tanggal 4 Juni 2017
libxml2
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah akses muncul saat menguraikan file XML perusak yang berbahaya. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4449: Kostya Serebryany
libxslt
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Beberapa kerentanan dalam libxslt
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-1683 : Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Entri diperbarui tanggal 11 April 2017
Safari
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Mengarahkan ulang respons ke port yang tidak valid mungkin telah mengizinkan situs web jahat untuk menampilkan domain acak ketika menampilkan konten yang acak. Masalah ini diatasi melalui peningkatan logika penampilan URL.
CVE-2016-4604: xisigr dari Tencent's Xuanwu Lab (www.tencent.com)
Profil Sandbox
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Aplikasi lokal dapat mengakses daftar proses
Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.
CVE-2016-4594: Stefan Esser dari SektionEins
Kontak Siri
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Orang dengan akses fisik ke perangkat mungkin dapat melihat informasi kontak pribadi
Deskripsi: Masalah privasi muncul di dalam penanganan kartu Kontak. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2016-4593: Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)
Media Web
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Menonton video di mode Penjelajahan Pribadi Safari menampilkan URL video di luar mode Penjelajahan Pribadi
Deskripsi: Masalah privasi muncul di dalam penanganan data pengguna oleh Pengendali Tampilan Safari. Masalah ini telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2016-4603: Brian Porter (@portex33)
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah inisialisasi memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4587: Apple
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web yang berbahaya dapat mengungkapkan data gambar dari situs web lain
Deskripsi: Masalah pewaktuan muncul di dalam pemrosesan SVG. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-2016-4583: Roeland Krak
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif
Deskripsi: Masalah izin muncul saat menangani variabel lokasi. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.
CVE-2016-4591: ma.la dari LINE Corporation
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4589: Tongbo Luo dan Bo Qu of Palo Alto Networks
CVE-2016-4622: Samuel Gross bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2016-4623: Apple
CVE-2016-4624: Apple
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak dapat mengakibatkan pemalsuan antarmuka pengguna
Deskripsi: Masalah warisan awal muncul di dalam proses parsing tentang: URL. Hal ini diatasi melalui peningkatan validasi awal keamanan.
CVE-2016-4590: xisigr dari Tencent's Xuanwu Lab (www.tencent.com)
WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Berkunjung ke halaman web yang dibuat secara berbahaya dapat mengarah ke penolakan layanan sistem.
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4592: Mikhail
Penyatuan JavaScript WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengarah pada eksekusi skrip di dalam konteks layanan non-HTTP
Deskripsi: Masalah cross-site scripting (XPXSS) muncul di Safari ketika mengirimkan formulir ke layanan non-HTTP yang mendukung HTTP/0.9. Masalah ini diatasi melalui penonaktifan skrip dan plugin di sumber daya yang memuat melalui HTTP/0.9.
CVE-2016-4651: Obscure
Pemuatan Halaman WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Situs web yang berbahaya dapat menarik data lintas sumber
Deskripsi: Masalah skrip lintas situs muncul di pengarahan ulang URL Safari. Masalah ini diatasi melalui peningkatan validasi URL pada pengarahan ulang.
CVE-2016-4585: Takeshi Terada dari Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)
Pemuatan Halaman WebKit
Tersedia untuk: iPhone 4s dan versi lebih baru, iPod touch (generasi ke-5) dan versi lebih baru, iPad 2 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4584: Chris Vienneau