Mengenai konten keamanan iOS 10
Dokumen ini menjelaskan konten keamanan iOS 10.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
iOS 10
AppleMobileFileIntegrity
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah validasi muncul dalam kebijakan penerimaan port tugas. Masalah ini telah diatasi melalui validasi hak proses dan ID Tim yang lebih baik.
CVE-2016-4698: Pedro Vilaça
Aset
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Penyerang dalam posisi jaringan dengan hak istimewa mungkin dapat memblokir perangkat untuk menerima pembaruan perangkat lunak
Deskripsi: Masalah muncul di pembaruan iOS, yang tidak mengamankan komunikasi pengguna dengan tepat. Masalah ini telah diatasi menggunakan HTTPS untuk pembaruan perangkat lunak.
CVE-2016-4741: Raul Siles dari DinoSec
Audio
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Penyerang jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park, dan Taekyoung Kwon dari Information Security Lab, Yonsei University
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Pembaruan kebijakan kepercayaan sertifikat
Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di http://support.apple.com/id-id/HT204132.
CFNetwork
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Pengguna lokal dapat menemukan situs web yang telah dikunjungi pengguna
Deskripsi: Masalah muncul di penghapusan Penyimpanan Lokal. Masalah ini telah diatasi melalui pembersihan Penyimpanan Lokal yang ditingkatkan.
CVE-2016-4707: peneliti anonim
CFNetwork
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat membahayakan informasi pengguna
Deskripsi: Masalah validasi input muncul saat menguraikan header set-cookie. Masalah ini telah diatasi melalui pemeriksaan validasi yang ditingkatkan.
CVE-2016-4708: Dawid Czagan dari Silesia Security Lab
CommonCrypto
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi yang menggunakan CCrypt dapat mengungkapkan plaintext sensitif jika buffer input dan output sama
Deskripsi: Masalah validasi input muncul di corecrypto. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan menghapus kode yang rentan.
CVE-2016-4712: Gergo Koteles
FontParser
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Penjelasan: Kelebihan buffer muncul saat menangani file font.
Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-2016-4718: Apple
GeoServices
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah izin muncul di PlaceData. Masalah ini telah diatasi melalui validasi izin yang ditingkatkan.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IDS - Konektivitas
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Masalah pemalsuan muncul saat menangani Relai Panggilan. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4722: Martin Vigo (@martin_vigo) dari salesforce.com
IOAcceleratorFamily
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4724: Cererdlong, Eakerqiu dari Tim OverSky
IOAcceleratorFamily
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4725: Rodger Combs dari Plex, Inc.
IOAcceleratorFamily
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4726: peneliti anonim
Kernel
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi lokal dapat mengakses file terbatas
Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi melalui validasi jalur yang ditingkatkan.
CVE-2016-4771: Balazs Bucsay, Direktur Penelitian dari MRG Effitas
Kernel
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penanganan kunci telah diatasi melalui penanganan kunci yang ditingkatkan.
CVE-2016-4772: Marc Heuse dari mh-sec
Kernel
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi dapat menentukan tata letak memori kernel
Deskripsi: Muncul beberapa masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah tersebut telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dereferensi penunjuk tidak tepercaya telah diatasi dengan menghapus kode yang bermasalah.
CVE-2016-4777: Lufeng Li dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4778: CESG
Papan Ketik
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Saran koreksi otomatis papan ketik dapat mengungkapkan informasi sensitif
Deskripsi: Papan ketik iOS melakukan cache informasi sensitif secara tidak sengaja. Masalah ini telah diatasi melalui heuristik yang ditingkatkan.
CVE-2016-4746: Antoine M dari Prancis
libxml2
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Beberapa masalah dalam libxml2, yang paling signifikan dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4738: Nick Wellnhofer
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat mengganggu kredensial email
Deskripsi: Masalah muncul saat menangani sertifikat tidak tepercaya. Masalah ini telah diatasi dengan mengakhiri koneksi tidak tepercaya.
CVE-2016-4747: Dave Aitel
Message
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Pesan dapat terlihat pada perangkat yang belum masuk ke Pesan
Deskripsi: Masalah terjadi saat menggunakan Handoff untuk Pesan. Masalah ini telah diatasi melalui pengelolaan kondisi yang lebih baik.
CVE-2016-4740: Step Wallace
Printing UIKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Dokumen tidak terenkripsi dapat ditulis ke file sementara jika menggunakan pratinjau AirPrint
Deskripsi: Masalah muncul di pratinjau AirPrint. Masalah ini telah diatasi melalui pembersihan lingkungan yang ditingkatkan.
CVE-2016-4749: Scott Alexander (@gooshy)
Kamera S2
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4750: Jack Tang (@jacktang310) dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro
Pembaca Safari
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Mengaktifkan fitur Pembaca Safari pada halaman web perusak berbahaya dapat menyebabkan skripting lintas situs universal
Deskripsi: Beberapa masalah validasi telah diatasi melalui pembersihan input yang ditingkatkan.
CVE-2016-4618: Erling Ellingsen
Profil Sandbox
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat menentukan siapa yang dikirimi pesan teks oleh pengguna
Deskripsi: Masalah kontrol akses muncul dalam direktori draf SMS. Masalah ini telah diatasi dengan mencegah app untuk menyatakan direktori yang bermasalah.
CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Security
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah validasi muncul di image disk bertanda. Masalah ini telah diatasi dengan validasi ukuran yang ditingkatkan.
CVE-2016-4753: Mark Mentovai dari Google Inc.
Springboard
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Data sensitif dapat terungkap di snapshot aplikasi yang muncul di Pengalih Tugas
Deskripsi: Masalah muncul pada Springboard yang menampilkan snapshot dalam cache yang berisi data sensitif di Pengalih Tugas. Masalah ini telah diatasi dengan menampilkan snapshot yang diperbarui.
CVE-2016-7759: Fatma Yılmaz dari Ptt Genel Müdürlüğü dari Ankara
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penguraian muncul saat menangani prototipe kesalahan. Masalah ini telah diatasi melalui validasi yang ditingkatkan.
CVE-2016-4728: Daniel Divricean
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif
Deskripsi: Masalah izin muncul saat menangani variabel lokasi. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.
CVE-2016-4758: Masato Kinugawa dari Cure53
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4611: Apple
CVE-2016-4729: Apple
CVE-2016-4730: Apple
CVE-2016-4731: Apple
CVE-2016-4734: Natalie Silvanovich dari Google Project Zero
CVE-2016-4735: André Bargull
CVE-2016-4737: Apple
CVE-2016-4759: Tongbo Luo dari Palo Alto Networks
CVE-2016-4762: Zheng Huang dari Baidu Security Lab
CVE-2016-4766: Apple
CVE-2016-4767: Apple
CVE-2016-4768: Anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Web berbahaya dapat mengakses layanan non-HTTP
Deskripsi: Dukungan Safari untuk HTTP/0.9 memungkinkan eksploitasi lintas-protokol layanan non-HTTP yang menggunakan pengaktifan ulang DNS. Masalah ini telah diatasi dengan membatasi respons HTTP/0.9 ke port default dan membatalkan muatan sumber daya jika dokumen itu dimuat dengan versi protokol HTTP yang berbeda.
CVE-2016-4760: Jordan Milne
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2016-4733: Natalie Silvanovich dari Google Project Zero
CVE-2016-4765: Apple
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Penyerang dalam posisi jaringan hak istimewa dapat menghadang dan mengubah lalu lintas jaringan untuk aplikasi yang menggunakan WKWebView dengan HTTPS
Deskripsi: Masalah validasi sertifikat terjadi saat menangani WKWebView. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-2016-4763: peneliti anonim
WebKit
Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2016-4764: Apple
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.