Mengenai konten keamanan iOS 16.7.6 dan iPadOS 16.7.6

Dokumen ini menjelaskan konten keamanan iOS 16.7.6 dan iPadOS 16.7.6.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

iOS 16.7.6 dan iPadOS 16.7.6

Accessibility

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat memalsukan pemberitahuan sistem dan UI

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan hak tambahan.

CVE-2024-23262: Guilherme Rambo dari Best Buddy Apps (rambo.codes)

CoreCrypto

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Penyerang mungkin dapat mendekripsi ciphertext RSA PKCS#1 v1.5 lama tanpa harus memiliki kunci rahasia

Deskripsi: Masalah saluran sisi waktu telah diatasi dengan peningkatan komputasi waktu konstan dalam fungsi kriptografis.

CVE-2024-23218: Clemens Lang

ImageIO

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Pemrosesan gambar dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23286: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro, Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun), serta Lyutoon dan Mr.R

ImageIO

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-23257: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Penyerang dengan kemampuan membaca dan menulis kernel arbitrer mungkin dapat melewati perlindungan memori kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi.

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2024-23225

Kernel

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2024-23235

Kernel

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App dapat mengakibatkan sistem terhenti tiba-tiba atau menulis memori kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2024-23265: Xinru Chi dari Pangu Lab

libxpc

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23278: peneliti anonim

MediaRemote

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang ditingkatkan.

CVE-2023-28826: Meng Zhang (鲸落) dari NorthSea

Metal

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2024-23264: Meysam Firouzi @R00tkitsmm yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Notes

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-23283

Safari

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Pemrosesan konten web dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23259: Lyra Rebane (rebane2001)

Share Sheet

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-23231: Kirin (@Pwnrin) dan luckyu (@uuulucky)

Shortcuts

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Pintasan mungkin dapat menggunakan data sensitif dengan tindakan tertentu tanpa meminta izin pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan izin tambahan.

CVE-2024-23204: Jubaer Alnazi (@h33tjubaer)

CVE-2024-23203: peneliti anonim

Siri

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Orang dengan akses fisik ke perangkat mungkin dapat menggunakan Siri untuk mengakses informasi kalender pribadi

Deskripsi: Masalah layar kunci diatasi dengan manajemen status yang ditingkatkan.

CVE-2024-23289: Lewis Hardy

UIKit

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: App mungkin dapat keluar dari sandbox

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-23246: Deutsche Telekom Security GmbH yang disponsori oleh Bundesamt für Sicherheit in der Informationstechnik

WebKit

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Memproses konten web berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2024-23284: Georg Felber dan Marco Squarcina

WebKit

Tersedia untuk: iPhone 8, iPhone 8 Plus, iPhone X, iPad generasi ke-5, iPad Pro 9,7 inci, dan iPad Pro 12,9 inci generasi ke-1

Dampak: Memproses konten web berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2024-23263: Johan Carlsson (joaxcar)