Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
iOS 16.7.2 dan iPadOS 16.7.2
Dirilis pada 25 Oktober 2023
CoreAnimation
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40449: Tomi Tokics (@tomitokics) dari iTomsn0w
Core Recents
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan membersihkan pencatatan
CVE-2023-42823
Entri ditambahkan pada 16 Februari 2024
Find My
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat membaca informasi lokasi yang sensitif
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-40413: Adam M.
ImageIO
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40416: JZ
ImageIO
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan semakin banyaknya kerusakan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-42848: JZ
Entri ditambahkan pada 16 Februari 2024
IOTextEncryptionFamily
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40423: peneliti anonim
Kernel
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-42849: Linus Henze dari Pinauten GmbH (pinauten.de)
libc
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Memproses input perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer pada app yang diinstal pengguna
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-40446: inooo
Entri ditambahkan pada 3 November 2023
libxpc
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App berbahaya dapat memperoleh hak istimewa root
Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.
CVE-2023-42942: Mickey Jin (@patch1t)
Entri ditambahkan pada 16 Februari 2024
Mail Drafts
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Sembunyikan Email Saya mungkin tiba-tiba dinonaktifkan
Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.
CVE-2023-40408: Grzegorz Riegel
mDNSResponder
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Perangkat dapat dilacak secara pasif melalui alamat MAC Wi-Fi-nya
Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.
CVE-2023-42846: Talal Haj Bakry dan Tommy Mysk dari Mysk Inc. @mysk_co
Pro Res
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2023-42841: Mingxuan Yang (@PPPF00L), happybabywu, dan Guang Gong dari 360 Vulnerability Research Institute
Pro Res
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2023-42873: Mingxuan Yang (@PPPF00L), happybabywu, dan Guang Gong dari 360 Vulnerability Research Institute
Entri ditambahkan pada 16 Februari 2024
Safari
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Membuka situs web yang berbahaya dapat mengungkap riwayat penelusuran
Deskripsi: Masalah telah diatasi dengan penanganan cache yang ditingkatkan.
CVE-2023-41977: Alex Renda
Siri
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Penyerang dengan akses fisik mungkin dapat menggunakan Siri untuk mengakses data pengguna yang sensitif
Deskripsi: Masalah ini telah diatasi dengan membatasi pilihan yang ditawarkan pada perangkat terkunci.
CVE-2023-41997: Bistrit Dahal
CVE-2023-41982: Bistrit Dahal
Entri diperbarui pada 16 Februari 2024
Weather
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah privasi telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan untuk entri log.
CVE-2023-41254: Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Rumania
WebKit
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Kata sandi pengguna dapat dibacakan dengan lantang oleh VoiceOver
Deskripsi: Masalah ini telah diatasi dengan redaksi informasi sensitif yang lebih baik.
WebKit Bugzilla: 248717
CVE-2023-32359: Claire Houston
WebKit
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 259836
CVE-2023-40447: 이준성 (Junsung Lee) dari Cross Republic
WebKit
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
WebKit Bugzilla: 260173
CVE-2023-42852: Pedro Ribeiro (@pedrib1337) dan Vitor Pedreira (@0xvhp_) dari Agile Information Security
Entri diperbarui pada 16 Februari 2024
WebKit
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.
WebKit Bugzilla: 259890
CVE-2023-41976: 이준성 (Junsung Lee)
WebKit
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Mengunjungi situs web berbahaya dapat menyebabkan pemalsuan bar alamat
Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.
WebKit Bugzilla: 260046
CVE-2023-42843: Kacper Kwapisz (@KKKas_)
Entri ditambahkan pada 16 Februari 2024
WebKit Process Model
Tersedia untuk: iPhone 8 dan versi yang lebih baru, iPad Pro (semua model), iPad Air generasi ke-3 dan versi yang lebih baru, iPad generasi ke-5 dan versi yang lebih baru, serta iPad mini generasi ke-5 dan versi yang lebih baru
Dampak: Pemrosesan konten web mungkin mengakibatkan serangan DoS (denial of service)
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
WebKit Bugzilla: 260757
CVE-2023-41983: 이준성 (Junsung Lee)
Ucapan terima kasih tambahan
libxml2
Kami ingin mengucapkan terima kasih kepada OSS-Fuzz, Ned Williamson dari Google Project Zero atas bantuannya.
libarchive
Kami ingin mengucapkan terima kasih kepada Bahaa Naamneh atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Gishan Don Ranasinghe dan peneliti anonim atas bantuannya.
Entri ditambahkan pada 16 Februari 2024