Tentang konten keamanan OS X El Capitan v10.11.6 dan Pembaruan Keamanan 2016-004
Dokumen ini menjelaskan konten keamanan OS X El Capitan v10.11.6 dan Pembaruan Keamanan 2016-004.
Tentang pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID bila memungkinkan.
OS X El Capitan v10.11.6 dan Pembaruan Keamanan 2016-004
apache_mod_php
Tersedia untuk: OS X Yosemite v10.10.5 serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah muncul di PHP sebelum versi 5.5.36. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.36.
CVE-2016-5093
CVE-2016-5094
CVE-2016-5096
CVE-2013-7456
Audio
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4649: Juwei Lin(@fuzzerDOTcn) dari Trend Micro
Audio
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4647: Juwei Lin(@fuzzerDOTcn) dari Trend Micro
Audio
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4648: Juwei Lin(@fuzzerDOTcn) dari Trend Micro; Jack Tang dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative Trend Micro
Audio
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.
CVE-2016-4646: Steven Seeley dari Source Incite bekerja sama dengan Zero Day Initiative Trend Micro
bsdiff
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat muncul di bspatch. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-2014-9862: peneliti anonim
CFNetwork
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah izin muncul saat menangani cookie browser web. Masalah ini telah diatasi melalui pembatasan yang ditingkatkan.
CVE-2016-4645: Abhinav Bansal dari Zscaler Inc.
Kredensial CFNetwork
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah penurunan muncul dengan kredensial pengesahan HTTP yang disimpan di Rantai Kunci. Masalah ini telah diatasi dengan menyimpan jenis pengesahan dengan kredensial.
CVE-2016-4644: Jerry Decime dikoordinasi melalui CERT
Proxy CFNetwork
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Masalah validasi muncul saat menguraikan respons 407. Masalah ini telah diatasi melalui validasi respons yang ditingkatkan.
CVE-2016-4643: Xiaofeng Zheng dari Tim Blue Lotus, Tsinghua University; Jerry Decime dikoordinasi melalui CERT
Proxy CFNetwork
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi mungkin dapat diam-diam mengirim kata sandi tidak terenkripsi melalui jaringan
Deskripsi: Pengesahan proxy salah melaporkan proxy HTTP yang menerima kredensial dengan aman. Masalah ini telah diatasi melalui peringatan yang ditingkatkan.
CVE-2016-4642: Jerry Decime dikoordinasi melalui CERT
CoreGraphics
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat meningkatkan hak istimewa
Deskripsi: Muncul masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4652: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative Trend Micro
CoreGraphics
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4637: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengakibatkan panggilan yang direlai yang akan terus-menerus mentransmisi audio meskipun panggilan terlihat telah dihentikan
Deskripsi: Ketidaksesuaian antarmuka pengguna muncul saat menangani panggilan yang direlai. Masalah-masalah ini telah diatasi melalui logika tampilan FaceTime yang ditingkatkan.
CVE-2016-4635: Martin Vigo
Driver Grafis
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4634: Stefan Esser dari SektionEins
ImageIO
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4629: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
CVE-2016-4630: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4632: Evgeny Sidorov dari Yandex
ImageIO
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4631: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7705 : Craig Young dari Tripwire VERT
Driver Intel Graphics
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4633: Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent
IOHIDFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4626: Stefan Esser dari SektionEins
IOSurface
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Use-after-free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-2016-4625: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-1863: Ian Beer dari Google Project Zero
CVE-2016-4653: Ju Zhu dari Trend Micro
CVE-2016-4582: Shrek_wzw dan Proteas dari Qihoo 360 Nirvan Team
Kernel
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-1865: Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent, CESG
Libc
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan aliran buffer muncul dalam fungsi "link_ntoa()" di linkaddr.c. Masalah ini diatasi dengan pemeriksaan batas tambahan.
CVE-2016-6559: Apple
libc++abi
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4621: peneliti anonim
libexpat
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-0718: Gustavo Grieco
LibreSSL
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah muncul di LibreSSL sebelum 2.2.7. Masalah ini telah diatasi dengan memperbarui LibreSSL ke versi 2.2.7.
CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Mark Brand, dan Ian Beer dari Google Project Zero
CVE-2016-2109: Brian Carpenter
libxml2
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Beberapa kerentanan dalam libxml2
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-4447: Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah akses muncul saat menguraikan file XML perusak yang berbahaya. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4449: Kostya Serebryany
libxslt
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru
Dampak: Beberapa kerentanan dalam libxslt
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-1683 : Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Jendela Masuk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4638: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative TrendMicro
Jendela Masuk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat mengeksekusi kode arbitrer yang membahayakan informasi pengguna
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4640: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
Jendela Masuk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat mengeksekusi kode arbitrer yang membahayakan informasi pengguna
Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4641: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative Trend Micro
Jendela Masuk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat menyebabkan penolakan layanan
Deskripsi: Masalah inisialisasi memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4639: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative Trend Micro
OpenSSL
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer
Deskripsi: Beberapa masalah muncul dalam OpenSSL. Masalah ini telah diatasi dengan mem-backport perbaikan dari OpenSSL 1.0.2h/1.0.1 ke OpenSSL 0.9.8.
CVE-2016-2105: Guido Vranken
CVE-2016-2106: Guido Vranken
CVE-2016-2107: Juraj Somorovsky
CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Mark Brand, dan Ian Beer dari Google Project Zero
CVE-2016-2109: Brian Carpenter
CVE-2016-2176: Guido Vranken
QuickTime
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses file SGI perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4601: Ke Liu dari Tencent's Xuanwu Lab
QuickTime
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses dokumen Photoshop perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4599: Ke Liu dari Tencent's Xuanwu Lab
QuickTime
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses Gambar Bitmap FlashPix perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-4596: Ke Liu dari Tencent's Xuanwu Lab
CVE-2016-4597: Ke Liu dari Tencent's Xuanwu Lab
CVE-2016-4600: Ke Liu dari Tencent's Xuanwu Lab
CVE-2016-4602: Ke Liu dari Tencent's Xuanwu Lab
QuickTime
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-4598: Ke Liu dari Tencent's Xuanwu Lab
IsiOtomatis Masuk Safari
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Kata sandi pengguna dapat terlihat di layar
Deskripsi: Masalah muncul di isi-auto kata sandi Safari. Masalah ini telah diatasi melalui pencocokan kolom formulir yang ditingkatkan.
CVE-2016-4595: Jonathan Lewis dari DeARX Services (PTY) LTD
Profil Sandbox
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi lokal dapat mengakses daftar proses
Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.
CVE-2016-4594: Stefan Esser dari SektionEins
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.