Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
iOS 15.5 dan iPadOS 15.5
Dirilis pada 16 Mei 2022
AppleAVD
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-26702: peneliti anonim, Antonio Zekic (@antoniozekic), dan John Aakerblom (@jaakerblom)
Entri diperbarui pada 16 Maret 2023
AppleGraphicsControl
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26751: Michael DePlante (@izobashi) dari Zero Day Initiative dari Trend Micro
AVEVideoEncoder
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26736: peneliti anonim
CVE-2022-26737: peneliti anonim
CVE-2022-26738: peneliti anonim
CVE-2022-26739: peneliti anonim
CVE-2022-26740: peneliti anonim
DriverKit
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26763: Linus Henze dari Pinauten GmbH (pinauten.de)
FaceTime
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: App dengan hak istimewa root mungkin dapat mengakses informasi pribadi
Deskripsi: Masalah ini telah diatasi dengan mengaktifkan hardened runtime.
CVE-2022-32781: Wojciech Reguła (@_r3ggi) dari SecuRing
Entri ditambahkan pada 6 Juli 2022
GPU Drivers
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26744: peneliti anonim
ImageIO
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26711: actae0n dari Blacksun Hackers Club bekerja sama dengan Zero Day Initiative dari Trend Micro
IOKit
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2022-26701: chenyuwang (@mzzzz__) dari Tencent Security Xuanwu Lab
IOSurfaceAccelerator
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26771: peneliti anonim
Kernel
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) dari STAR Labs (@starlabs_sg)
Kernel
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-26757: Ned Williamson dari Google Project Zero
Kernel
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26764: Linus Henze dari Pinauten GmbH (pinauten.de)
Kernel
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2022-26765: Linus Henze dari Pinauten GmbH (pinauten.de)
LaunchServices
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan pada app pihak ketiga.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or dari Microsoft
Entri diperbarui pada 6 Juli 2022
libresolv
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26775: Max Shavrick (@_mxms) dari Google Security Team
Entri ditambahkan pada 21 Juni 2022
libresolv
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26708: Max Shavrick (@_mxms) dari Google Security Team
Entri ditambahkan pada 21 Juni 2022
libresolv
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Pengguna dari jarak jauh dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32790: Max Shavrick (@_mxms) dari Google Security Team
Entri ditambahkan pada 21 Juni 2022
libresolv
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26776: Max Shavrick (@_mxms) dari Google Security Team, Zubair Ashraf dari Crowdstrike
Entri ditambahkan pada 21 Juni 2022
libxml2
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2022-23308
Notes
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Memproses input berukuran besar dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-22673: Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College Of Technology Bhopal
Safari Private Browsing
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Situs web berbahaya dapat melacak pengguna dalam mode penelusuran pribadi Safari
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26731: peneliti anonim
Security
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: App berbahaya mungkin dapat melewati validasi tanda tangan
Deskripsi: Masalah penguraian sertifikat telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26766: Linus Henze dari Pinauten GmbH (pinauten.de)
Shortcuts
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Orang yang memiliki akses fisik ke perangkat iOS mungkin dapat mengakses foto dari layar terkunci
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26703: Salman Syed (@slmnsd551)
Spotlight
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: App mungkin dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2022-26704: Gergely Kalman (@gergely_kalman), and Joshua Mason dari Mandiant
Entri ditambahkan pada 21 Desember 2023
TCC
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: App mungkin dapat melewatkan preferensi Privasi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26726: Antonio Cheong Yu Xuan dari YCISCQ
Entri ditambahkan pada 16 Maret 2023
WebKit
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
WebKit Bugzilla: 238178
CVE-2022-26700: ryuzaki
WebKit
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
WebKit Bugzilla: 236950
CVE-2022-26709: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher lab
WebKit Bugzilla: 237475
CVE-2022-26710: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher la
WebKit Bugzilla: 238171
CVE-2022-26717: Jeonghoon Shin dari Theori
WebKit
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
WebKit Bugzilla: 238183
CVE-2022-26716: SorryMybad (@S0rryMybad) dari Kunlun Lab
WebKit Bugzilla: 238699
CVE-2022-26719: Dongzhuo Zhao bekerja sama dengan ADLab of Venustech
WebRTC
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Pratinjau otomatis video dalam panggilan webRTC dapat terganggu jika pengguna menjawab panggilan telepon
Deskripsi: Masalah logika dalam penanganan media serentak telah diatasi dengan penanganan status yang ditingkatkan.
WebKit Bugzilla: 237524
CVE-2022-22677: peneliti anonim
Wi-Fi
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi berbahaya dapat mengungkap memori yang dibatasi
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26745: Scarlet Raine
Entri diperbarui pada 6 Juli 2022
Wi-Fi
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26760: 08Tc3wBB dari ZecOps Mobile EDR Team
Wi-Fi
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2015-4142: Kostya Kortchinsky dari Google Security Team
Wi-Fi
Tersedia untuk: iPhone 6s dan versi yang lebih baru, iPad Pro (semua model), iPad Air 2 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, iPad mini 4 dan versi yang lebih baru, serta iPod touch (generasi ke-7)
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-26762: Wang Yu dari Cyberserval
Ucapan terima kasih tambahan
AppleMobileFileIntegrity
Kami ingin mengucapkan terima kasih kepada Wojciech Reguła (@_r3ggi) dari SecuRing atas bantuannya.
FaceTime
Kami ingin mengucapkan terima kasih kepada Wojciech Reguła (@_r3ggi) dari SecuRing atas bantuannya.
FileVault
Kami ingin mengucapkan terima kasih kepada Benjamin Adolphi dari Promon Germany GmbH atas bantuannya.
Entri ditambahkan pada 16 Maret 2023
WebKit
Kami ingin mengucapkan terima kasih kepada James Lee dan peneliti anonim atas bantuannya.
Entri diperbarui pada 25 Mei 2022
Wi-Fi
Kami ingin mengucapkan terima kasih kepada 08Tc3wBB dari ZecOps Mobile EDR Team atas bantuannya.