Mengenai konten keamanan iOS 13.5 dan iPadOS 13.5
Dokumen ini menjelaskan konten keamanan iOS 13.5 dan iPadOS 13.5.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
iOS 13.5 dan iPadOS 13.5
Akun
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9827: Jannik Lorenz dari SEEMOO di TU Darmstadt
AirDrop
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9826: Dor Hadad dari Palo Alto Networks
AppleMobileFileIntegrity
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya dapat berinteraksi dengan proses sistem untuk mengakses informasi pribadi dan melakukan tindakan istimewa
Deskripsi: Masalah penguraian hak telah diatasi dengan penguraian yang ditingkatkan.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9815: Yu Zhou (@yuzhou6666) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Audio
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-9791: Yu Zhou (@yuzhou6666) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Bluetooth
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth
Deskripsi: Masalah muncul terkait penggunaan PRNG dengan entropi rendah. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.
CVE-2020-6616: Jörn Tillmanns (@matedealer) dan Jiska Classen (@naehrdine) dari Secure Mobile Networking Lab
Bluetooth
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9838: Dennis Heinze (@ttdennis) dari TU Darmstadt, Secure Mobile Networking Lab
CoreText
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses pesan teks perusak berbahaya dapat mengakibatkan penolakan layanan aplikasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2020-9829: Aaron Perris (@aaronp613), peneliti anonim, peneliti anonim, Carlos S Tech, Sam Menzies dari Sam’s Lounge, Sufiyan Gouri dari Lovely Professional University, India, Suleman Hasan Rathor dari Arabic-Classroom.com
FaceTime
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Video pengguna tidak dapat dijeda pada saat panggilan FaceTime berlangsung jika mereka keluar dari app FaceTime sewaktu panggilan berdering
Deskripsi: Masalah yang terjadi saat menjeda video FaceTime. Masalah tersebut telah diatasi dengan logika yang ditingkatkan.
CVE-2020-9835: Olivier Levesque (@olilevesque)
Sistem File
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang jarak jauh mungkin dapat memodifikasi sistem file
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9820: Thijs Alkemade dari Computest
FontParser
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Membuka file PDF berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9816: Peter Nguyen Vu Hoang dari STAR Labs yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2020-3878: Samuel Groß dari Google Project Zero
ImageIO
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9789: Wenchao Li dari VARAS@IIE
CVE-2020-9790: Xingwei Lin dari Ant-financial Light-Year Security Lab
IPSec
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang jarak jauh dapat membocorkan memori
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9837: Thijs Alkemade dari Computest
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9821: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori aplikasi lain
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan menghapus kode yang rentan.
CVE-2020-9797: peneliti anonim
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2020-9852: Tao Huang dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2020-9795: Zhuo Liang dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9808: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9811: Tielei Wang dari Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika muncul sehingga menyebabkan kerusakan memori. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2020-9813: Xinru Chi dari Pangu Lab
CVE-2020-9814: Xinru Chi dan Tielei Wang dari Pangu Lab
Kernel
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.
CVE-2020-9994: Apple
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses pesan email perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan
Deskripsi: Masalah penggunaan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9819: ZecOps.com
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses pesan email perusak yang berbahaya dapat mengakibatkan modifikasi memori yang tidak terduga atau penghentian aplikasi
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9818: ZecOps.com
Pesan
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Pengguna yang dihapus dari percakapan iMessage mungkin masih dapat mengubah status
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2020-9823: Suryansh Mansharamani, pelajar dari Community Middle School, Plainsboro, New Jersey
Pemberitahuan
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Orang yang memiliki akses fisik ke perangkat iOS mungkin dapat melihat isi pemberitahuan dari layar terkunci
Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2020-9848: Nima
rsync
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2014-9512: gaojianfeng
Sandbox
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2020-9825: Sreejith Krishnan R (@skr0x1C0)
Keamanan
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9854: Ilias Morad (A2nkF)
SQLite
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi berbahaya dapat mengakibatkan penolakan layanan atau berpotensi mengungkap konten memori
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2020-9794
Preferensi Sistem
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2020-9839: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Audio USB
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Perangkat USB mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2020-9792: Andy Davis dari NCC Group
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan skripting lintas situs universal
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9805: peneliti anonim
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9802: Samuel Groß dari Google Project Zero
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2020-9850: @jinmo123, @setuid0x0_, dan @insu_yun_en dari @SSLab_Gatech yang bekerja sama dengan Zero Day Initiative dari Trend Micro
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs
Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2020-9803: Wen Xu dari SSLab di Georgia Tech
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9806: Wen Xu dari SSLab di Georgia Tech
CVE-2020-9807: Wen Xu dari SSLab di Georgia Tech
WebKit
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2020-9800: Brendan Draper (@6r3nd4n) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
WebRTC
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah akses telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2019-20503: natashenka dari Google Project Zero
Wi-Fi
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah pengosongan ganda telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2020-9844: Ian Beer dari Google Project Zero
Wi-Fi
Tersedia untuk: iPhone 6s dan versi lebih baru, iPad Air 2 dan versi lebih baru, iPad mini 4 dan versi lebih baru, serta iPod touch generasi ke-7
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2020-9830: Tielei Wang dari Pangu Lab
Penghargaan tambahan
Bluetooth
Kami ingin mengucapkan terima kasih kepada Maximilian von Tschirschnitz (@maxinfosec1) dari Technical University Munich dan Ludwig Peuckert dari Technical University Munich atas bantuannya.
CoreText
Kami ingin mengucapkan terima kasih kepada Jiska Classen (@naehrdine) dan Dennis Heinze (@ttdennis) dari Secure Mobile Networking Lab atas bantuannya.
Analitik Perangkat
Kami ingin mengucapkan terima kasih kepada Mohamed Ghannam (@_simo36) atas bantuannya.
ImageIO
Kami ingin mengucapkan terima kasih kepada Lei Sun atas bantuannya.
IOHIDFamily
Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.
IPSec
Kami ingin mengucapkan terima kasih kepada Thijs Alkemade dari Computest atas bantuannya.
Kernel
Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero atas bantuannya.
Safari
Kami ingin mengucapkan terima kasih kepada Jeffball dari GRIMM dan Luke Walker dari Manchester Metropolitan University atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Aidan Dunlap dari UT Austin atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.