Mengenai konten keamanan iOS 10

Dokumen ini menjelaskan konten keamanan iOS 10.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi telah dilakukan dan perbaikan program atau rilis telah tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, kunjungi halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

iOS 10

Dirilis pada 13 September 2016

AppleMobileFileIntegrity

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul dalam kebijakan penerimaan port tugas. Masalah ini telah diatasi melalui validasi hak proses dan ID Tim yang lebih baik.

CVE-2016-4698: Pedro Vilaça

Entri ditambahkan pada 20 September 2016

Aset

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dalam posisi jaringan dengan hak istimewa mungkin dapat memblokir perangkat untuk menerima pembaruan perangkat lunak

Deskripsi: Masalah muncul di pembaruan iOS, yang tidak mengamankan komunikasi pengguna dengan tepat. Masalah ini telah diatasi menggunakan HTTPS untuk pembaruan perangkat lunak.

CVE-2016-4741: Raul Siles dari DinoSec

Audio

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park, dan Taekyoung Kwon dari Information Security Lab, Yonsei University

Entri ditambahkan pada 20 September 2016

Kebijakan Kepercayaan Sertifikat

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Pembaruan kebijakan kepercayaan sertifikat

Deskripsi: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di http://support.apple.com/id-id/HT204132.

Entri ditambahkan pada 20 September 2016

CFNetwork

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Pengguna lokal dapat menemukan situs web yang telah dikunjungi pengguna

Deskripsi: Masalah muncul di penghapusan Penyimpanan Lokal. Masalah ini telah diatasi melalui pembersihan Penyimpanan Lokal yang lebih baik.

CVE-2016-4707: peneliti anonim

Entri ditambahkan pada 20 September 2016

CFNetwork

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat membahayakan informasi pengguna

Deskripsi: Masalah validasi input muncul saat menguraikan header set-cookie. Masalah ini telah diatasi melalui pemeriksaan validasi yang lebih baik.

CVE-2016-4708: Dawid Czagan dari Silesia Security Lab

Entri ditambahkan pada 20 September 2016

CommonCrypto

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi yang menggunakan CCrypt dapat mengungkapkan plaintext sensitif jika buffer input dan output sama

Deskripsi: Masalah validasi input muncul di corecrypto. Masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4711: Max Lohrmann

Entri ditambahkan pada 20 September 2016

CoreCrypto

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan menghapus kode yang rentan.

CVE-2016-4712: Gergo Koteles

Entri ditambahkan pada 20 September 2016

FontParser

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Kelebihan buffer terjadi saat menangani file font.

Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2016-4718: Apple

Entri ditambahkan pada 20 September 2016

GeoServices

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Sebuah aplikasi mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah izin muncul di PlaceData. Masalah ini telah diatasi melalui validasi izin yang lebih baik.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IDS - Konektivitas

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dengan posisi jaringan hak istimewa dapat menyebabkan penolakan layanan

Deskripsi: Masalah pemalsuan muncul saat menangani Relai Panggilan. Masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4722: Martin Vigo (@martin_vigo) dari salesforce.com

Entri ditambahkan pada 20 September 2016

IOAcceleratorFamily

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4724: Cererdlong, Eakerqiu dari Tim OverSky

Entri ditambahkan pada 20 September 2016

IOAcceleratorFamily

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4725: Rodger Combs dari Plex, Inc.

Entri ditambahkan pada 20 September 2016

IOAcceleratorFamily

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4726: peneliti anonim

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengakses file terbatas

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi melalui validasi jalur yang lebih baik.

CVE-2016-4771: Balazs Bucsay, Direktur Penelitian dari MRG Effitas

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penanganan kunci telah diatasi melalui penanganan kunci yang lebih baik.

CVE-2016-4772: Marc Heuse dari mh-sec

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat menentukan tata letak memori kernel

Deskripsi: Muncul beberapa masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk tidak tepercaya telah diatasi dengan menghapus kode yang bermasalah.

CVE-2016-4777: Lufeng Li dari Qihoo 360 Vulcan Team

Entri ditambahkan pada 20 September 2016

Kernel

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4778: CESG

Entri ditambahkan pada 20 September 2016

Papan Ketik

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Saran koreksi otomatis papan ketik dapat mengungkapkan informasi sensitif

Deskripsi: Papan ketik iOS melakukan cache informasi sensitif secara tidak sengaja. Masalah ini telah diatasi melalui heuristik yang lebih baik.

CVE-2016-4746: Antoine M dari Prancis

libxml2

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Beberapa masalah dalam libxml2, yang paling signifikan dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Entri ditambahkan pada 20 September 2016

libxslt

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4738: Nick Wellnhofer

Entri ditambahkan pada 20 September 2016

Mail

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat mengganggu kredensial email

Deskripsi: Masalah muncul saat menangani sertifikat tidak tepercaya. Masalah ini telah diatasi dengan mengakhiri koneksi tidak tepercaya.

CVE-2016-4747: Dave Aitel

Pesan

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Pesan dapat terlihat pada perangkat yang belum masuk ke Pesan

Deskripsi: Masalah terjadi saat menggunakan Handoff untuk Pesan. Masalah ini telah diatasi melalui pengelolaan kondisi yang lebih baik.

CVE-2016-4740: Step Wallace

Printing UIKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Dokumen tidak terenkripsi dapat ditulis ke file sementara jika menggunakan pratinjau AirPrint

Deskripsi: Masalah muncul di pratinjau AirPrint. Masalah ini telah diatasi melalui pembersihan lingkungan yang lebih baik.

CVE-2016-4749: peneliti anonim

Kamera S2

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4750: Jack Tang (@jacktang310) dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 20 September 2016

Pembaca Safari

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Mengaktifkan fitur Pembaca Safari pada halaman web perusak yang berbahaya dapat menyebabkan skripting lintas situs universal

Deskripsi: Beberapa masalah validasi telah diatasi melalui pembersihan input yang lebih baik.

CVE-2016-4618: Erling Ellingsen

Entri ditambahkan pada 20 September 2016 dan diperbarui pada 23 September 2016.

Profil Sandbox

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi berbahaya mungkin dapat menentukan siapa yang dikirimi pesan teks oleh pengguna

Deskripsi: Masalah kontrol akses muncul dalam direktori draf SMS. Masalah ini telah diatasi dengan mencegah app untuk menyatakan direktori yang bermasalah.

CVE-2016-4620: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Keamanan

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul di image disk bertanda. Masalah ini telah diatasi dengan validasi ukuran yang lebih baik.

CVE-2016-4753: Mark Mentovai dari Google Inc.

Entri ditambahkan pada 20 September 2016

Springboard

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Data sensitif dapat terungkap di snapshot aplikasi yang muncul di Pengalih Tugas

Deskripsi: Masalah muncul pada Springboard yang menampilkan snapshot dalam cache yang berisi data sensitif di Pengalih Tugas. Masalah ini telah diatasi dengan menampilkan snapshot yang diperbarui.

CVE-2016-7759: Fatma Yılmaz dari Ptt Genel Müdürlüğü dari Ankara

Entri ditambahkan pada 17 Januari 2017

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penguraian muncul saat menangani prototipe kesalahan. Masalah ini telah diatasi melalui peningkatan validasi.

CVE-2016-4728: Daniel Divricean

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Mengunjungi halaman web perusak yang berbahaya dapat membocorkan data yang sensitif

Penjelasan: Masalah izin muncul saat menangani variabel lokasi. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.

CVE-2016-4758: Masato Kinugawa dari Cure53

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4611: Apple

CVE-2016-4729: Apple

CVE-2016-4730: Apple

CVE-2016-4731: Apple

CVE-2016-4734: Natalie Silvanovich dari Google Project Zero

CVE-2016-4735: André Bargull

CVE-2016-4737: Apple

CVE-2016-4759: Tongbo Luo dari Palo Alto Networks

CVE-2016-4762: Zheng Huang dari Baidu Security Lab

CVE-2016-4766: Apple

CVE-2016-4767: Apple

CVE-2016-4768: Anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Web yange berbahaya dapat mengakses layanan non-HTTP

Penjelasan: Dukungan Safari untuk HTTP/0.9 memungkinkan eksploitasi lintas-protokol layanan non-HTTP yang menggunakan pengaktifan ulang DNS. Masalah ini telah diatasi dengan membatasi respons HTTP/0.9 ke port default dan membatalkan muatan sumber daya jika dokumen itu dimuat dengan versi protokol HTTP yang berbeda.

CVE-2016-4760: Jordan Milne

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui peningkatan pengelolaan status.

CVE-2016-4733: Natalie Silvanovich dari Google Project Zero

CVE-2016-4765: Apple

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk: iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Seorang penyerang dalam posisi jaringan istimewa dapat menghadang dan mengubah lalu lintas jaringan untuk aplikasi yang menggunakan WKWebView dengan HTTPS

Penjelasan: Masalah validasi sertifikat terjadi saat menangani WKWebView. Masalah ini telah diatasi dengan peningkatan validasi.

CVE-2016-4763: peneliti anonim

Entri ditambahkan pada 20 September 2016

WebKit

Tersedia untuk:  iPhone 5 dan versi lebih baru, iPad generasi ke-4 dan versi lebih baru, iPod touch generasi ke-6 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui peningkatan pengelolaan status.

CVE-2016-4764: Apple

Entri ditambahkan pada 3 November 2016

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: