Mengenai konten keamanan iOS 10

Dokumen ini menjelaskan konten keamanan iOS 10.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

iOS 10

Dirilis pada 13 September 2016

AppleMobileFileIntegrity

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul dalam kebijakan penerimaan port tugas. Masalah ini telah diatasi melalui validasi hak proses dan ID Tim yang lebih baik.

CVE-2016-4698: Pedro Vilaça

Entri ditambahkan pada 20 September 2016

Aset

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dalam posisi jaringan dengan hak istimewa mungkin dapat memblokir perangkat untuk menerima pembaruan perangkat lunak

Deskripsi: Masalah muncul di pembaruan iOS, yang tidak mengamankan komunikasi pengguna dengan tepat. Masalah ini telah diatasi menggunakan HTTPS untuk pembaruan perangkat lunak.

CVE-2016-4741: Raul Siles dari DinoSec

Audio

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park, dan Taekyoung Kwon dari Information Security Lab, Yonsei University

Entri ditambahkan pada 20 September 2016

Kebijakan Kepercayaan Sertifikat

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Pembaruan kebijakan kepercayaan sertifikat

Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di http://support.apple.com/id-id/HT204132.

Entri ditambahkan pada 20 September 2016

CFNetwork

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Pengguna lokal dapat menemukan situs web yang telah dikunjungi pengguna

Deskripsi: Masalah muncul di penghapusan Penyimpanan Lokal. Masalah ini telah diatasi melalui pembersihan Penyimpanan Lokal yang ditingkatkan.

CVE-2016-4707: peneliti anonim

Entri ditambahkan pada 20 September 2016

CFNetwork

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat membahayakan informasi pengguna

Deskripsi: Masalah validasi input muncul saat menguraikan header set-cookie. Masalah ini telah diatasi melalui pemeriksaan validasi yang ditingkatkan.

CVE-2016-4708: Dawid Czagan dari Silesia Security Lab

Entri ditambahkan pada 20 September 2016

CommonCrypto

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi yang menggunakan CCrypt dapat mengungkapkan plaintext sensitif jika buffer input dan output sama

Deskripsi: Masalah validasi input muncul di corecrypto. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4711: Max Lohrmann

Entri ditambahkan pada 20 September 2016

CoreCrypto

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan menghapus kode yang rentan.

CVE-2016-4712: Gergo Koteles

Entri ditambahkan pada 20 September 2016

FontParser

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Penjelasan: Kelebihan buffer muncul saat menangani file font.

Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

CVE-2016-4718: Apple

Entri ditambahkan pada 20 September 2016

GeoServices

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah izin muncul di PlaceData. Masalah ini telah diatasi melalui validasi izin yang ditingkatkan.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS - Konektivitas

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat mengakibatkan penolakan layanan

Deskripsi: Masalah pemalsuan muncul saat menangani Relai Panggilan. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4722: Martin Vigo (@martin_vigo) dari salesforce.com

Entri ditambahkan pada 20 September 2016

IOAcceleratorFamily

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4724: Cererdlong, Eakerqiu dari Tim OverSky

Entri ditambahkan pada 20 September 2016

IOAcceleratorFamily

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4725: Rodger Combs dari Plex, Inc.

Entri ditambahkan pada 20 September 2016

IOAcceleratorFamily

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4726: peneliti anonim

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengakses file terbatas

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi melalui validasi jalur yang ditingkatkan.

CVE-2016-4771: Balazs Bucsay, Direktur Penelitian dari MRG Effitas

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penanganan kunci telah diatasi melalui penanganan kunci yang ditingkatkan.

CVE-2016-4772: Marc Heuse dari mh-sec

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat menentukan tata letak memori kernel

Deskripsi: Muncul beberapa masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah tersebut telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk tidak tepercaya telah diatasi dengan menghapus kode yang bermasalah.

CVE-2016-4777: Lufeng Li dari Qihoo 360 Vulcan Team

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4778: CESG

Entri ditambahkan pada 20 September 2016

Papan Ketik

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Saran koreksi otomatis papan ketik dapat mengungkapkan informasi sensitif

Deskripsi: Papan ketik iOS melakukan cache informasi sensitif secara tidak sengaja. Masalah ini telah diatasi melalui heuristik yang ditingkatkan.

CVE-2016-4746: Antoine M dari Prancis

libxml2

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Beberapa masalah dalam libxml2, yang paling signifikan dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Entri ditambahkan pada 20 September 2016

libxslt

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4738: Nick Wellnhofer

Entri ditambahkan pada 20 September 2016

Mail

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat mengganggu kredensial email

Deskripsi: Masalah muncul saat menangani sertifikat tidak tepercaya. Masalah ini telah diatasi dengan mengakhiri koneksi tidak tepercaya.

CVE-2016-4747: Dave Aitel

Message

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Pesan dapat terlihat pada perangkat yang belum masuk ke Pesan

Deskripsi: Masalah terjadi saat menggunakan Handoff untuk Pesan. Masalah ini telah diatasi melalui pengelolaan kondisi yang lebih baik.

CVE-2016-4740: Step Wallace

Printing UIKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Dokumen tidak terenkripsi dapat ditulis ke file sementara jika menggunakan pratinjau AirPrint

Deskripsi: Masalah muncul di pratinjau AirPrint. Masalah ini telah diatasi melalui pembersihan lingkungan yang ditingkatkan.

CVE-2016-4749: Scott Alexander (@gooshy)

Entri diperbarui pada 12 September 2018

Kamera S2

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4750: Jack Tang (@jacktang310) dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 20 September 2016

Pembaca Safari

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Mengaktifkan fitur Pembaca Safari pada halaman web perusak berbahaya dapat menyebabkan skripting lintas situs universal

Deskripsi: Beberapa masalah validasi telah diatasi melalui pembersihan input yang ditingkatkan.

CVE-2016-4618: Erling Ellingsen

Entri ditambahkan pada 20 September 2016 dan diperbarui pada 23 September 2016.

Profil Sandbox

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi berbahaya mungkin dapat menentukan siapa yang dikirimi pesan teks oleh pengguna

Deskripsi: Masalah kontrol akses muncul dalam direktori draf SMS. Masalah ini telah diatasi dengan mencegah app untuk menyatakan direktori yang bermasalah.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Security

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul di image disk bertanda. Masalah ini telah diatasi dengan validasi ukuran yang ditingkatkan.

CVE-2016-4753: Mark Mentovai dari Google Inc.

Entri ditambahkan pada 20 September 2016

Springboard

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Data sensitif dapat terungkap di snapshot aplikasi yang muncul di Pengalih Tugas

Deskripsi: Masalah muncul pada Springboard yang menampilkan snapshot dalam cache yang berisi data sensitif di Pengalih Tugas. Masalah ini telah diatasi dengan menampilkan snapshot yang diperbarui.

CVE-2016-7759: Fatma Yılmaz dari Ptt Genel Müdürlüğü dari Ankara

Entri ditambahkan pada 17 Januari 2017

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penguraian muncul saat menangani prototipe kesalahan. Masalah ini telah diatasi melalui validasi yang ditingkatkan.

CVE-2016-4728: Daniel Divricean

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif

Deskripsi: Masalah izin muncul saat menangani variabel lokasi. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.

CVE-2016-4758: Masato Kinugawa dari Cure53

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich dari Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo dari Palo Alto Networks

CVE-2016-4762: Zheng Huang dari Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Web berbahaya dapat mengakses layanan non-HTTP

Deskripsi: Dukungan Safari untuk HTTP/0.9 memungkinkan eksploitasi lintas-protokol layanan non-HTTP yang menggunakan pengaktifan ulang DNS. Masalah ini telah diatasi dengan membatasi respons HTTP/0.9 ke port default dan membatalkan muatan sumber daya jika dokumen itu dimuat dengan versi protokol HTTP yang berbeda.

CVE-2016-4760: Jordan Milne

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

CVE-2016-4733: Natalie Silvanovich dari Google Project Zero

CVE-2016-4765: Apple

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dalam posisi jaringan hak istimewa dapat menghadang dan mengubah lalu lintas jaringan untuk aplikasi yang menggunakan WKWebView dengan HTTPS

Deskripsi: Masalah validasi sertifikat terjadi saat menangani WKWebView. Masalah ini telah diatasi dengan validasi yang ditingkatkan

CVE-2016-4763: peneliti anonim

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

CVE-2016-4764: Apple

Entri ditambahkan pada 3 November 2016

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: