Mengenai konten keamanan OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001

Dokumen ini menjelaskan konten keamanan OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.

OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001

  • AFP Server

    Tersedia untuk: OS X Mavericks v10.9.5

    Dampak: Penyerang jarak jauh mungkin dapat mengetahui semua alamat jaringan sistem

    Deskripsi: Server file AFP mendukung perintah yang dapat menampilkan semua alamat jaringan server. Masalah ini diatasi dengan menghapus alamat dari hasil yang ditampilkan.

    CVE-ID

    CVE-2014-4426 : Craig Young dari Tripwire VERT

  • bash

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa kerentanan dalam bash, yang salah satunya memungkinkan penyerang lokal mengeksekusi kode arbitrer

    Deskripsi: Terdapat beberapa kerentanan dalam bash. Masalah ini telah diatasi dengan memperbarui bash ke level patch 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat kesalahan signedness bilangan bulat di IOBluetoothFamily yang memungkinkan manipulasi memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Yosemite.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat kesalahan pada driver Bluetooth yang memungkinkan app berbahaya mengontrol ukuran tulisan ke memori kernel. Masalah ini telah diatasi melalui tambahan validasi input.

    CVE-ID

    CVE-2014-8836 : Ian Beer dari Google Project Zero

  • Bluetooth

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat beberapa masalah keamanan pada driver Bluetooth sehingga memungkinkan app berbahaya mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi melalui tambahan validasi input.

    CVE-ID

    CVE-2014-8837 : Roberto Paleari dan Aristide Fattori dari Emaze Networks

  • CFNetwork Cache

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Cache situs web mungkin tidak terhapus sepenuhnya setelah penelusuran pribadi dimatikan

    Deskripsi: Terdapat masalah privasi yang menyebabkan data penelusuran tersimpan di cache setelah penelusuran pribadi dimatikan. Masalah ini telah diatasi dengan mengubah perilaku penyimpanan di cache.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan bilangan bulat dalam penanganan file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4481 : Felipe Andres Manzano dari Binamuse VRT, melalui iSIGHT Partners GVP Program

  • CPU Software

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1, untuk: MacBook Pro Retina, MacBook Air (Pertengahan 2013 dan versi lebih baru), iMac (Akhir 2013 dan versi lebih baru), Mac Pro (Akhir 2013)

    Dampak: Perangkat Thunderbolt yang berbahaya mungkin dapat memengaruhi flashing firmware

    Dekripsi: Perangkat Thunderbolt dapat memodifikasi firmware host jika disambungkan saat pembaruan EFI. Masalah ini telah diatasi dengan tidak memuat pilihan ROM selama pembaruan.

    CVE-ID

    CVE-2014-4498 : Trammell Hudson dari Two Sigma Investments

  • CommerceKit Framework

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Penyerang dengan akses ke sistem mungkin dapat memperoleh kredensial ID Apple

    Deskripsi: Terdapat masalah dalam penanganan log App Store. Proses App Store dapat mencatat kredensial ID Apple pada log saat pencatatan tambahan diaktifkan. Masalah ini telah diatasi dengan menolak pencatatan informasi pengesahan.

    CVE-ID

    CVE-2014-4499 : Sten Petersen

  • CoreGraphics

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa app pihak ketiga dengan aktivitas entri teks dan moouse yang tidak aman dapat mencatat aktivitas tersebut

    Deskripsi: Akibat kombinasi dari variabel yang tidak diinisiasi dan pengalokasi khusus dari app, aktivitas entri teks dan mouse yang tidak aman mungkin tercatat. Masalah ini telah diatasi dengan memastikan pencatatan dimatikan secara default. Masalah ini tidak memengaruhi sistem sebelum OS X Yosemite.

    CVE-ID

    CVE-2014-1595 : Steven Michaud dari Mozilla yang bekerja sama dengan Kent Howard

  • CoreGraphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan file PDF. Masalah tersebut diatasi melalui pemeriksaan batas-batas yang lebih baik. Masalah ini tidak memengaruhi sistem OS X Yosemite.

    CVE-ID

    CVE-2014-8816 : Mike Myers, dari Digital Operatives LLC

  • CoreSymbolication

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat beberapa masalah ketidakjelasan tipe saat coresymbolicationd menangani pesan XPC. Masalah ini telah diatasi melalui pemeriksaan tipe yang disempurnakan.

    CVE-ID

    CVE-2014-8817 : Ian Beer dari Google Project Zero

  • FontParser

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan file .dfont. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah yang bekerja sama dengan Zero Day Initiative dari HP

  • FontParser

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam penanganan file fon. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4483 : Apple

  • Foundation

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Melihat file XML perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam parser XML. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2014-4485 : Apple

  • Intel Graphics Driver

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa kerentanan dalam driver grafis Intel

    Deskripsi: Terdapat beberapa kerentanan dalam driver grafis Intel. Kerentanan yang paling serius dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa sistem. Pembaruan ini mengatasi masalah melalui pemeriksaan batas tambahan.

    CVE-ID

    CVE-2014-8819 : Ian Beer dari Google Project Zero

    CVE-2014-8820 : Ian Beer dari Google Project Zero

    CVE-2014-8821 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat dereferensi penunjuk null saat IOAcceleratorFamily menangani tipe userclient IOService tertentu. Masalah ini telah diatasi dengan peningkatan validasi konteks IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4486 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat kelebihan buffer dalam IOHIDFamily. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

    CVE-ID

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat masalah validasi saat IOHIDFamily menangani metadata antrean sumber daya. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4488 : Apple

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat dereferensi penunjuk null saat IOHIDFamily menangani antrean aktivitas. Masalah ini telah diatasi melalui validasi antrean aktivitas IOHIDFamily yang ditingkatkan.

    CVE-ID

    CVE-2014-4489 : @beist

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Eksekusi app yang berbahaya dapat menyebabkan eksekusi kode arbitrer di dalam kernel

    Deskripsi: Terdapat masalah pemeriksaan batas dalam klien pengguna yang dihasilkan oleh driver IOHIDFamily. Masalah ini memungkinkan app yang berbahaya menimpa porsi arbitrer dari ruang alamat kernel. Masalah ini diatasi dengan menghapus metode klien pengguna yang rentan.

    CVE-ID

    CVE-2014-8822 : Vitaliy Toropov yang bekerja sama dengan Zero Day Initiative dari HP

  • IOKit

    Tersedia untuk: OS X Yosemite v10.10 and v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat kelebihan bilangan bulat saat menangani fungsi IOKit. Masalah ini telah diatasi dengan peningkatan validasi argumen IOKit API.

    CVE-ID

    CVE-2014-4389 : Ian Beer dari Google Project Zero

  • IOUSBFamily

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: App dengan hak istimewa mungkin dapat membaca data arbitrer dari memori kernel

    Deskripsi: Terdapat masalah akses memori saat menangani fungsi klien pengguna pengontrol IOUSB. Masalah ini telah diatasi dengan validasi argumen yang ditingkatkan.

    CVE-ID

    CVE-2014-8823 : Ian Beer dari Google Project Zero

  • Kerberos

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Perpustakaan libgssapi Kerberos menghasilkan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan meningkatkan manajemen status.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Menentukan mode cache khusus memungkinkan penulisan ke segmen memori bersama hanya-baca di kernel. Masalah ini telah diatasi dengan penolakan pemberian izin tulis sebagai efek samping dari beberapa mode cache khusus.

    CVE-ID

    CVE-2014-4495 : Ian Beer dari Google Project Zero

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat masalah validasi dalam penanganan bidang metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-8824 : @PanguTeam

  • Kernel

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Penyerang lokal dapat memalsukan respons layanan direktori ke kernel, meningkatkan hak istimewa, atau mengeksekusi kernel

    Deskripsi: Terdapat masalah pada validasi identitysvc dalam proses penyelesaian masalah, penanganan bendera, dan penanganan kesalahan dari layanan direktori. Masalah ini telah diatasi dengan validasi yang ditingkatkan

    CVE-ID

    CVE-2014-8825 : Alex Radocea dari CrowdStrike

  • Kernel

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Terdapat beberapa masalah memori yang tidak diinisiasi dalam antarmuka statistik jaringan sehingga menyebabkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori tambahan.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna dari Google Security Team

    CVE-2014-4419 : Fermin J. Serna dari Google Security Team

    CVE-2014-4420 : Fermin J. Serna dari Google Security Team

    CVE-2014-4421 : Fermin J. Serna dari Google Security Team

  • Kernel

    Tersedia untuk: OS X Mavericks v10.9.5

    Dampak: Orang di posisi jaringan yang memiliki hak istimewa dapat mengakibatkan penolakan layanan

    Deskripsi: Terdapat masalah kondisi pacu dalam penanganan paket IPv6. Masalah ini telah diatasi dengan pemeriksaan kondisi kunci yang ditingkatkan.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App perusak yang berbahaya atau yang disusupi mungkin dapat mengetahui alamat di kernel

    Deskripsi: Terdapat masalah pengungkapan informasi dalam penanganan API terkait ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini diatasi dengan tidak menggeser alamat sebelum mengembalikannya.

    CVE-ID

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Terdapat masalah validasi dalam penanganan bidang metadata tertentu dari objek IOSharedDataQueue. Masalah ini telah diatasi melalui relokasi metadata.

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: File JAR yang berbahaya dapat melewati pemeriksaan Gatekeeper

    Deskripsi: Terdapat masalah dalam penanganan peluncuran app yang memungkinkan file JAR berbahaya tertentu melewati pemeriksaan Gatekeeper. Masalah ini telah diatasi melalui penanganan metadata tipe file yang ditingkatkan.

    CVE-ID

    CVE-2014-8826 : Hernan Ochoa dari Amplia Security

  • libnetcore

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App berbahaya di dalam sandbox dapat menyusupi networkd daemon

    Deskripsi: Terdapat beberapa masalah ketidakjelasan tipe saat networkd menangani komunikasi antarproses. Pengiriman pesan berformat yang berbahaya ke networkd dapat menyebabkan eksekusi kode arbitrer sebagai proses networkd. Masalah ini telah diatasi melalui pemeriksaan tipe tambahan.

    CVE-ID

    CVE-2014-4492 : Ian Beer dari Google Project Zero

  • LoginWindow

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Mac mungkin tidak segera terkunci saat masuk mode bangun

    Deskripsi: Terdapat masalah pada rendering layar terkunci. Masalah ini telah diatasi melalui rendering layar yang ditingkatkan saat perangkat terkunci.

    CVE-ID

    CVE-2014-8827 : Xavier Bertels of Mono dan beberapa penguji seed OS X

  • lukemftp

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Menggunakan alat ftp baris perintah untuk mengambil file dari server http berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Terdapat masalah injeksi perintah dalam penanganan pengalihan HTTP. Masalah ini telah diatasi dengan peningkatan validasi karakter khusus.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Menggunakan ntp daemon dengan autentikasi kriptografi yang diaktifkan dapat mengakibatkan kebocoran informasi

    Deskripsi: Terdapat beberapa masalah validasi input dalam ntpd. Masalah ini telah diatasi melalui validasi data yang ditingkatkan.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa kerentanan dalam OpenSSL 0.9.8za, yang salah satunya memungkinkan penyerang menurunkan versi koneksi ke cipher-suite yang lebih lemah dalam app yang menggunakan perpustakaan

    Deskripsi: Terdapat beberapa kerentanan dalam OpenSSL 0.9.8za. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: Proses di dalam sandbox mungkin dapat menggagalkan pembatasan sandbox

    Deskripsi: Terdapat masalah desain dalam penyimpanan cache profile sandbox yang menyebabkan app di dalam sandbox dapat memiliki akses tulis ke cache tersebut. Masalah ini telah diatasi dengan membatasi akses tulis ke jalur yang memiliki segment “com.apple.sandbox”. Masalah ini tidak memengaruhi OS X Yosemite v10.10 atau versi lebih baru.

    CVE-ID

    CVE-2014-8828 : Apple

  • SceneKit

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: App yang berbahaya dapat mengeksekusi kode arbitrer yang menimbulkan risiko keamanan informasi pengguna

    Deskripsi: Terdapat beberapa masalah tulis di luar batas dalam SceneKit. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.

    CVE-ID

    CVE-2014-8829 : Jose Duart dari Google Security Team

  • SceneKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Melihat file Collada perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer tumpukan saat SceneKit menangani file Collada. Melihat file Collada perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini telah diatasi melalui validasi elemen pengakses yang ditingkatkan.

    CVE-ID

    CVE-2014-8830: Jose Duart dari Google Security Team

  • Security

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App unduhan yang ditandatangani dengan sertifikat ID Pengembang yang telah dicabut dapat melewati pemeriksaan Gatekeeper

    Deskripsi: Terdapat masalah pada evaluasi terhadap informasi sertifikat app yang disimpan di cache. Masalah ini telah diatasi dengan peningkatan logika cache.

    CVE-ID

    CVE-2014-8838 : Apple

  • security_taskgate

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App dapat mengakses item rantai kunci milik app lain

    Deskripsi: Terdapat masalah kontrol akses dalam Rantai Kunci. App dengan sertifikat yang ditandatangani sendiri atau sertifikat ID Pengembang dapat mengakses item rantai kunci yang daftar kontrol aksesnya didasarkan pada grup rantai kunci. Masalah ini telah diatasi dengan memvalidasi identitas penanda tangan saat mengizinkan akses ke grup rantai kunci.

    CVE-ID

    CVE-2014-8831 : Apple

  • Spotlight

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Pengirim email dapat mengetahui alamat IP penerima

    Deskripsi: Spotlight tidak memeriksa status pengaturan “Muat konten jarak jauh di pesan” di Mail. Masalah ini telah diatasi dengan meningkatkan pemeriksaan konfigurasi.

    CVE-ID

    CVE-2014-8839 : John Whitehead dari The New York Times, Frode Moe dari LastFriday.no

  • Spotlight

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Spotlight dapat menyimpan informasi yang tidak terduga ke hard drive eksternal

    Deskripsi: An Terdapat masalah pada Spotlight yang dapat menyebabkan konten memori ditulis ke hard drive eksternal saat pengindeksan. Masalah ini telah diatasi dengan pengelolaan memori yang lebih baik.

    CVE-ID

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Spotlight dapat menampilkan hasil untuk file yang bukan milik pengguna

    Deskripsi: Terdapat masalah desterilisasi saat Spotlight menangani cache izin. Pengguna yang melakukan kueri di Spotlight mungkin akan diberikan hasil pencarian berisi file yang tidak boleh mereka baca. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

    CVE-ID

    CVE-2014-8833 : David J Peacock, Konsultan Teknologi Independen

  • sysmond

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa root

    Deskripsi: Terdapat kerentanan ketidakjelasan tipe pada sysmond sehingga app lokal dapat mengeskalasi hak istimewa. Masalah ini telah diatasi dengan pemeriksaan tipe yang ditingkatkan.

    CVE-ID

    CVE-2014-8835 : Ian Beer dari Google Project Zero

  • UserAccountUpdater

    Tersedia untuk: OS X Yosemite v10.10 and v10.10.1

    Dampak: File preferensi terkait pencetakan dapat berisi informasi sensitif tentang dokumen PDF

    Deskripsi: OS X Yosemite v10.10 telah mengatasi masalah pada penanganan file PDF yang dilindungi kata sandi dan dibuat dari dialog Cetak yang kata sandinya mungkin disertakan dalam file preferensi pencetakan. Pembaruan ini menghapus informasi asing tersebut yang mungkin telah disertakan dalam file preferensi pencetakan.

    CVE-ID

    CVE-2014-8834 : Apple

Catatan: OS X Yosemite 10.10.2 menyertakan konten keamanan Safari 8.0.3.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: