Mengenai konten keamanan iOS 14.0 dan iPadOS 14.0

Dokumen ini menjelaskan konten keamanan iOS 14.0 dan iPadOS 14.0.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

iOS 14.0 dan iPadOS 14.0

Dirilis pada 16 September 2020

AppleAVD

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Aplikasi dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9958: Mohamed Ghannam (@_simo36)

Aset

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Penyerang mungkin dapat menyalahgunakan hubungan kepercayaan untuk mengunduh konten berbahaya

Deskripsi: Masalah kepercayaan telah diatasi dengan menghapus API lama.

CVE-2020-9979: CodeColorist dari Ant-Financial LightYear Labs

Ikon

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Aplikasi berbahaya mungkin dapat mengidentifikasi aplikasi lain yang telah diinstal pengguna

Deskripsi: Masalah telah diatasi dengan penanganan cache ikon yang ditingkatkan.

CVE-2020-9773: Chilik Tamir dari Zimperium zLabs

Dukungan Perangkat IDE

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mengeksekusi kode arbitrer pada perangkat yang dipasangkan selama sesi debug melalui jaringan

Deskripsi: Masalah ini telah diatasi dengan mengenkripsi komunikasi melaui jaringan ke perangkat yang menjalankan iOS 14, iPadOS 14, tvOS 14, dan watchOS 7.

CVE-2020-9992: Dany Lisiansky (@DanyL931), Nikias Bassen dari Zimperium zLabs

Entri diperbarui pada 17 September 2020

IOSurfaceAccelerator

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2020-9964: Mohamed Ghannam (@_simo36), Tommy Muir (@Muirey03)

Keyboard

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Aplikasi berbahaya mungkin dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2020-9976: Rias A. Sherzad dari JAIDE GmbH di Hamburg, Jerman

I/O Model

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Memproses file USD perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2020-9973: Aleksandar Nikolic dari Cisco Talos

Telepon

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Kunci layar mungkin tidak akan dimulai setelah periode waktu yang ditentukan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2020-9946: Daniel Larsson dari iolight AB

Sandbox

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Aplikasi berbahaya mungkin dapat mengakses file yang dibatasi

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2020-9968: Adam Chester (@_xpn_) dari TrustedSec

Entri diperbarui pada 17 September 2020

Siri

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Orang yang memiliki akses fisik ke perangkat iOS mungkin dapat melihat isi pemberitahuan dari layar terkunci

Deskripsi: Masalah layar terkunci mengizinkan akses ke pesan pada perangkat yang terkunci. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2020-9959: peneliti anonim, peneliti anonim, peneliti anonim, peneliti anonim, peneliti anonim, Andrew Goldberg dari The University of Texas di Austin, McCombs School of Business, Meli̇h Kerem Güneş dari Li̇v College, Sinan Gulguler

WebKit

Tersedia untuk: iPhone 6s dan versi lebih baru, iPod touch generasi ke-7, iPad Air 2 dan versi lebih baru, serta iPad mini 4 dan versi lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan serangan skripting lintas situs

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Penghargaan tambahan

App Store

Kami ingin mengucapkan terima kasih kepada Giyas Umarov dari Holmdel High School atas bantuannya.

Bluetooth

Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group dan Dennis Heinze (@ttdennis) dari TU Darmstadt, Secure Mobile Networking Lab atas bantuannya.

CallKit

Kami ingin mengucapkan terima kasih kepada Federico Zanetello atas bantuannya.

CarPlay

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Core Location

Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.

debugserver

Kami ingin mengucapkan terima kasih kepada Linus Henze (pinauten.de) atas bantuannya.

iAP

Kami ingin mengucapkan terima kasih kepada Andy Davis dari NCC Group atas bantuannya.

iBoot

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero atas bantuannya.

libarchive

Kami ingin mengucapkan terima kasih kepada Dzmitry Plotnikau dan peneliti anonim atas bantuannya.

Location Framework

Kami ingin mengucapkan terima kasih kepada Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) atas bantuannya.

Entri diperbarui pada 19 Oktober 2020

Peta

Kami ingin mengucapkan terima kasih kepada Matthew Dolan dari Amazon Alexa atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Thijs Alkemade dari Computest dan ‘Qubo Song’ dari ‘Symantec, divisi dari Broadcom’ atas bantuannya.

Keypad Telepon

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Safari

Kami ingin mengucapkan terima kasih kepada Andreas Gutmann (@KryptoAndI) dari OneSpan Innovation Centre (onespan.com) dan University College London, Steven J. Murdoch (@SJMurdoch) dari OneSpan Innovation Centre (onespan.com) dan University College London, Jack Cable dari Lightning Security, Yair Amit atas bantuannya.

Entri ditambahkan pada 19 Oktober 2020

Bar Status

Kami ingin mengucapkan terima kasih kepada Abdul M. Majumder, Abdullah Fasihallah dari Universitas Taif, Adwait Vikas Bhide, Frederik Schmid, Nikita, dan peneliti anonim atas bantuannya.

Telephony

Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.

UIKit

Kami ingin mengucapkan terima kasih kepada Borja Marcos dari Sarenet, Simon de Vegt, serta Talal Haj Bakry (@hajbakri) dan Tommy Mysk (@tommymysk) dari Mysk Inc atas bantuannya.

Web App

Kami ingin mengucapkan terima kasih kepada Augusto Alvarez dari Outcourse Limited atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: