Mengenai konten keamanan OS X El Capitan v10.11
Dokumen ini menjelaskan mengenai konten keamanan OS X El Capitan v10.11.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
OS X El Capitan v10.11
Buku Alamat
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang lokal dapat memasukkan kode arbitrer ke proses yang memuat kerangka Buku Alamat
Deskripsi: Masalah terjadi saat kerangka Buku Alamat menangani variabel lingkungan. Masalah ini telah diatasi melalui penanganan variabel lingkungan yang lebih baik.
CVE-ID
CVE-2015-5897 : Dan Bastone dari Gotham Digital Science
AirScan
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengekstrak muatan dari paket eSCL yang dikirim melalui koneksi aman
Deskripsi: Terjadi masalah saat memproses paket eSCL. Masalah ini telah diatasi melalui pemeriksaan validasi yang lebih baik.
CVE-ID
CVE-2015-5853 : peneliti anonim
apache_mod_php
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di PHP
Deskripsi: Beberapa kerentanan terjadi di versi PHP sebelum 5.5.27, termasuk kerentanan yang telah mengakibatkan eksekusi kode jarak jauh. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.27.
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Kit Apple Online Store
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat memperoleh akses ke item rantai kunci milik pengguna
Deskripsi: Masalah terjadi saat memvalidasi daftar kontrol akses untuk item rantai kunci iCloud. Masalah ini telah diatasi melalui pemeriksaan daftar kontrol akses yang lebih baik.
CVE-ID
CVE-2015-5836 : XiaoFeng Wang dari Indiana University, Luyi Xing dari Indiana University, Tongxin Li dari Peking University, Tongxin Li dari Peking University, Xiaolong Bai dari Tsinghua University
AppleEvents
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna yang terhubung melalui berbagi layar dapat mengirim Acara Apple ke sesi pengguna lokal
Deskripsi: Masalah terjadi pada pemfilteran Acara Apple yang memungkinkan beberapa pengguna mengirim acara ke pengguna lain. Masalah ini telah diatasi melalui penanganan Acara Apple yang lebih baik.
CVE-ID
CVE-2015-5849 : Jack Lawrence (@_jackhl)
Audio
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Masalah kerusakan memori terjadi saat menangani file audio. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5862 : YoungJin Yoon dari Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
bash
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di bash
Deskripsi: Beberapa kerentanan terjadi di versi bash sebelum 3.2 level patch 57. Masalah ini telah diatasi dengan memperbarui bash versi 3.2 ke level patch 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pembaruan kebijakan kepercayaan sertifikat
Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di https://support.apple.com/id-id/HT202858.
Cookie CFNetwork
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat melacak aktivitas pengguna
Deskripsi: Masalah cookie lintas domain terjadi saat menangani domain tingkat atas. Masalah ini telah diatasi melalui pembatasan pembuatan cookie yang lebih baik.
CVE-ID
CVE-2015-5885 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork FTPProtocol
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Server FTP yang berbahaya dapat menyebabkan klien melakukan pengintaian pada host lainnya
Deskripsi: Masalah terjadi saat menangani paket FTP menggunakan perintah PASV. Masalah ini telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2015-5912 : Amit Klein
CFNetwork HTTPProtocol
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: URL perusak yang berbahaya dapat melewati HSTS dan membocorkan data sensitif
Deskripsi: Kerentanan penguraian URL terjadi saat menangani HSTS. Masalah ini telah diatasi melalui penguraian URL yang lebih baik.
CVE-ID
CVE-2015-5858 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork HTTPProtocol
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas lalu lintas jaringan
Deskripsi: Masalah terjadi saat menangani entri daftar pramuat HSTS dalam mode penelusuran pribadi Safari. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.
CVE-ID
CVE-2015-5859 : Rosario Giustolisi dari University of Luxembourg
CFNetwork HTTPProtocol
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Situs web yang berbahaya dapat melacak pengguna dalam mode penelusuran pribadi Safari
Deskripsi: Masalah terjadi saat menangani status HSTS dalam mode penelusuran pribadi Safari. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.
CVE-ID
CVE-2015-5860 : Sam Greenhalgh dari RadicalResearch Ltd
Proxy CFNetwork
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Terhubung ke proxy web berbahaya dapat menghasilkan cookie yang berbahaya untuk situs web
Deskripsi: Masalah terjadi saat menangani respons sambungan proxy. Masalah ini telah diatasi dengan menghapus header set-cookie saat menguraikan respons sambungan.
CVE-ID
CVE-2015-5841 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork SSL
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS
Deskripsi: Masalah validasi sertifikat terjadi di NSURL saat sertifikat diubah. Masalah ini telah diatasi melalui validasi sertifikat yang lebih baik.
CVE-ID
CVE-2015-5824 : Timothy J. Wood dari The Omni Group
CFNetwork SSL
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL
Deskripsi: Terjadi serangan yang diketahui terhadap kerahasiaan RC4. Penyerang dapat memaksa penggunaan RC4, bahkan jika server cenderung memilih cipher yang lebih baik, dengan memblokir TLS 1.0 dan koneksi yang lebih tinggi sampai CFNetwork mencoba SSL 3.0, yang hanya mengizinkan RC4. Masalah ini telah diatasi dengan menghapus pengembalian ke SSL 3.0.
CoreCrypto
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dapat menentukan kunci pribadi
Deskripsi: Dengan mengamati banyak upaya penandatanganan atau dekripsi, penyerang dapat menentukan kunci pribadi RSA. Masalah ini telah diatasi dengan menggunakan algoritma enkripsi yang lebih baik.
CoreText
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat memproses file font. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team
Dev Tools
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di dyld. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5876 : beist dari grayhash
Dev Tools
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat memintas penandatanganan kode
Deskripsi: Masalah terjadi pada validasi tanda tangan kode dari file yang dapat dijalankan. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-5839 : @PanguTeam
Gambar Disk
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori terjadi di DiskImages. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat memintas penandatanganan kode
Deskripsi: Masalah terjadi pada validasi tanda tangan kode dari file yang dapat dijalankan. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-5839 : TaiG Jailbreak Team
EFI
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat mencegah beberapa sistem melakukan boot
Deskripsi: Masalah terjadi pada alamat yang dicakup oleh pendaftaran rentang yang dilindungi. Masalah ini telah diperbaiki dengan mengubah rentang yang dilindungi.
CVE-ID
CVE-2015-5900 : Xeno Kovah & Corey Kallenberg dari LegbaCore
EFI
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Adapter Apple Ethernet Thunderbolt yang berbahaya dapat memengaruhi flashing firmware
Deskripsi: Adapter Apple Ethernet Thunderbolt dapat mengubah firmware host jika terhubung selama pembaruan EFI. Masalah ini telah diatasi dengan tidak memuat pilihan ROM selama pembaruan.
CVE-ID
CVE-2015-5914 : Trammell Hudson dari Two Sigma Investments and snare
Finder
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Fitur "Kosongkan Tong Sampah dengan Aman" tidak menghapus file yang ada di Tong Sampah dengan aman
Deskripsi: Masalah terjadi saat menjamin keamanan penghapusan file Tong Sampah di beberapa sistem, seperti sistem dengan penyimpanan flash. Masalah ini telah diatasi dengan menghapus pilihan "Kosongkan Tong Sampah dengan Aman".
CVE-ID
CVE-2015-5901 : Apple
Game Center
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi Game Center yang berbahaya dapat mengakses alamat email pemain
Deskripsi: Masalah terjadi di Game Center saat menangani email pemain. Masalah ini telah diatasi melalui pembatasan akses yang lebih baik.
CVE-ID
CVE-2015-5855 : Nasser Alnasser
Heimdal
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dapat memutar ulang kredensial Kerberos ke server SMB
Deskripsi: Masalah autentikasi terjadi pada kredensial Kerberos. Masalah ini telah diatasi melalui validasi kredensial tambahan menggunakan daftar kredensial yang baru dilihat.
CVE-ID
CVE-2015-5913 : Tarun Chopra dari Microsoft Corporation, U.S. dan Yu Fan dari Microsoft Corporation, China
ICU
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di ICU
Deskripsi: Beberapa kerentanan muncul di versi ICU sebelum 53.1.0. Masalah ini telah diatasi dengan memperbarui ICU ke versi 55.1.
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand dari Google Project Zero
Install Framework Legacy
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar
Deskripsi: Masalah pembatasan terjadi pada kerangka pribadi Instal yang berisi hak istimewa yang dapat dijalankan. Masalah ini telah diatasi dengan menghapus file yang dapat dijalankan.
CVE-ID
CVE-2015-5888 : Apple
Driver Intel Graphics
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah kerusakan memori terjadi di Intel Graphics Driver. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5830 : Yuki MIZUNO (@mzyy94)
CVE-2015-5877 : Camillus Gerard Cai
IOAudioFamily
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah terjadi di IOAudioFamily yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi dengan mengubah urutan penunjuk kernel.
CVE-ID
CVE-2015-5864 : Luca Todesco
IOGraphics
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori terjadi di kernel. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5871 : Ilja van Sprundel dari IOActive
CVE-2015-5872 : Ilja van Sprundel dari IOActive
CVE-2015-5873 : Ilja van Sprundel dari IOActive
CVE-2015-5890 : Ilja van Sprundel dari IOActive
IOGraphics
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Deskripsi: Masalah terjadi di IOGraphics yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-ID
CVE-2015-5865 : Luca Todesco
IOHIDFamily
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah kerusakan memori terjadi di IOHIDFamily. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5866 : Apple
CVE-2015-5867 : moony li dari Trend Micro
IOStorageFamily
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang lokal dapat membaca memori kernel
Deskripsi: Masalah inisialisasi memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5863 : Ilja van Sprundel dari IOActive
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori terjadi di Kernel. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5868 : Cererdlong dari Alibaba Mobile Security Team
CVE-2015-5896 : Maxime Villard dari m00nbsd
CVE-2015-5903 : CESG
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Proses lokal dapat memodifikasi proses lainnya tanpa pemeriksaan hak yang sah
Deskripsi: Masalah terjadi saat proses dasar yang menggunakan API processor_set_tasks diizinkan untuk mengambil port tugas dari proses lainnya. Masalah ini telah diatasi dengan pemeriksaan hak tambahan.
CVE-ID
CVE-2015-5882 : Pedro Vilaça, yang bekerja berdasarkan riset asli oleh Ming-chieh Pan dan Sung-ting Tsai; Jonathan Levin
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang lokal dapat mengontrol nilai cookie tumpukan
Deskripsi: Beberapa kerentanan muncul di pembuatan cookie tumpukan ruang pengguna. Masalah ini telah diatasi melalui pembuatan cookie tumpukan yang lebih baik.
CVE-ID
CVE-2013-3951 : Stefan Esser
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dapat melancarkan serangan penolakan layanan pada koneksi TCP yang ditargetkan tanpa mengetahui nomor urutan yang benar
Deskripsi: Masalah muncul di validasi xnu pada header paket TCP. Masalah ini telah diatasi melalui validasi header paket TCP yang lebih baik.
CVE-ID
CVE-2015-5879 : Jonathan Looney
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang di segmen LAN lokal dapat menonaktifkan perutean IPv6
Deskripsi: Masalah validasi yang tidak cukup terjadi saat menangani iklan router IPv6 yang memungkinkan penyerang mengatur batas hop terhadap nilai arbitrer. Masalah ini telah diatasi dengan menerapkan batas hop minimum.
CVE-ID
CVE-2015-5869 : Dennis Spindel Ljungmark
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Terjadi masalah yang mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui inisialisasi struktur memori kernel yang lebih baik.
CVE-ID
CVE-2015-5842 : beist dari grayhash
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah terjadi pada antarmuka debug yang mengakibatkan pengungkapan konten memori. Masalah ini telah diatasi dengan membersihkan output dari antarmuka debug.
CVE-ID
CVE-2015-5870 : Apple
Kernel
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Masalah pengelolaan status muncul di fungsionalitas debug. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-ID
CVE-2015-5902 : Sergi Alvarez (pancake) dari Tim NowSecure Research
libc
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer.
Deskripsi: Masalah kerusakan memori terjadi di fungsi fflush. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2014-8611 : Adrian Chadd dan Alfred Perlstein dari Norse Corporation
libpthread
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5899 : Lufeng Li dari Qihoo 360 Vulcan Team
libxpc
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa koneksi SSH dapat menyebabkan penolakan layanan
Deskripsi: launchd tidak memiliki batas pada jumlah proses yang dapat dimulai dengan koneksi jaringan. Masalah ini telah diatasi dengan membatasi jumlah proses SSH menjadi 40.
CVE-ID
CVE-2015-5881 : Apple
Jendela Masuk
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Kunci layar mungkin tidak akan dimulai setelah periode waktu tertentu
Deskripsi: Masalah muncul pada penguncian layar yang diambil. Masalah ini telah diatasi melalui penanganan penguncian yang lebih baik.
CVE-ID
CVE-2015-5833 : Carlos Moreira, Rainer Dorau dari rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera, dan Jon Hall dari Asynchrony
lukemftpd
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang jarak jauh dapat menolak layanan ke server FTP
Deskripsi: Masalah pemrosesan glob muncul di tnftpd. Masalah ini telah diatasi dengan peningkatan validasi glob.
CVE-ID
CVE-2015-5917 : Maksymilian Arciemowicz dari cxsecurity.com
Mail
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Mencetak email dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah terjadi di Mail yang memintas preferensi pengguna saat mencetak email. Masalah ini telah diatasi melalui penerapan preferensi pengguna yang lebih baik.
CVE-ID
CVE-2015-5881 : Owen DeLong dari Akamai Technologies, Noritaka Kamiya, Dennis Klein from Eschenburg, Germany, Jeff Hammett dari Systim Technology Partners
Mail
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu pelampiran email yang dienkripsi S/MIME yang dikirim melalui Mail Drop
Deskripsi: Masalah terjadi saat menangani parameter enkripsi untuk lampiran email besar yang dikirim melalui Mail Drop. Masalah ini telah diatasi dengan tidak lagi menawarkan Mail Drop saat mengirim e-mail terenkripsi.
CVE-ID
CVE-2015-5884 : John McCombs dari Integrated Mapping Ltd
Konektivitas Multipasangan
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang lokal dapat mengamati data multipasangan yang tidak dilindungi
Deskripsi: Masalah terjadi saat menangani penginisialisasi yang praktis ketika enkripsi dapat diturunkan secara aktif ke sesi non enkripsi. Masalah ini telah diatasi dengan mengubah penginisialisasi yang praktis agar membutuhkan enkripsi.
CVE-ID
CVE-2015-5851 : Alban Diquet (@nabla_c0d3) dari Data Theorem
NetworkExtension
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel
Deskripsi: Masalah memori yang tidak diinisialisasi di kernel mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori yang lebih baik.
CVE-ID
CVE-2015-5831 : Maxime Villard dari m00nbsd
Catatan
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah terjadi saat menguraikan tautan di aplikasi Catatan. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-5878 : Craig Young dari Tripwire VERT, seorang peneliti anonim
Catatan
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah skripting lintas situs terjadi saat menguraikan teks oleh aplikasi Catatan. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2015-5875 : xisigr dari Tencent's Xuanwu LAB (www.tencent.com)
OpenSSH
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di OpenSSH
Deskripsi: Beberapa kerentanan muncul di versi OpenSSH sebelum 6.9. Masalah ini telah diatasi dengan memperbarui OpenSSH ke versi 6.9.
CVE-ID
CVE-2014-2532
OpenSSL
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di OpenSSL
Deskripsi: Masalah kerentanan muncul di OpenSSL versi sebelum 0.9.8zg. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di procmail
Deskripsi: Beberapa kerentanan muncul di versi procmail sebelum 3.22. Masalah ini telah diatasi dengan menghapus procmail.
CVE-ID
CVE-2014-3618
remote_cmds
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Masalah terjadi saat menggunakan variabel lingkungan oleh biner rsh. Masalah ini telah diatasi dengan melepaskan hak istimewa setuid dari biner rsh.
CVE-ID
CVE-2015-5889 : Philip Pettersson
removefile
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Memproses data yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Kesalahan kelebihan muncul di rutin divisi checkint. Masalah ini telah diatasi dengan rutin divisi yang lebih baik.
CVE-ID
CVE-2015-5840 : peneliti anonim
Ruby
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di Ruby
Deskripsi: Masalah kerentanan muncul di versi Ruby sebelum 2.0.0p645. Masalah ini telah diatasi dengan memperbarui Ruby ke versi 2.0.0-P645.
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Security
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Status terkunci dari rantai kunci mungkin salah ditampilkan kepada pengguna
Deskripsi: Masalah pengelolaan status terjadi pada cara status terkunci rantai kunci dilacak. Masalah ini telah diatasi melalui pengelolaan kondisi yang lebih baik.
CVE-ID
CVE-2015-5915 : Peter Walz dari University of Minnesota, David Ephron, Eric E. Lawrence, Apple
Security
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Evaluasi kepercayaan yang dikonfigurasi agar memerlukan pemeriksaan pencabutan dapat berhasil bahkan jika pemeriksaan pencabutan gagal
Penjelasan: Bendera kSecRevocationRequirePositiveResponse telah ditetapkan tetapi tidak diterapkan. Masalah ini telah diatasi dengan menerapkan bendera.
CVE-ID
CVE-2015-5894 : Hannes Oud dari kWallet GmbH
Security
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Server jarak jauh dapat meminta sertifikat sebelum mengidentifikasi server itu sendiri
Deskripsi: Transpor Aman menerima pesan CertificateRequest sebelum pesan ServerKeyExchange. Masalah ini telah diatasi dengan mengharuskan SeverKeyExchange terlebih dahulu.
CVE-ID
CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, dan Jean Karim Zinzindohoue dari INRIA Paris-Rocquencourt, dan Cedric Fournet dan Markulf Kohlweiss dari Microsoft Research, Pierre-Yves Strub dari IMDEA Software Institute
SMB
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5891 : Ilja van Sprundel dari IOActive
SMB
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah muncul di SMBClient yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-ID
CVE-2015-5893 : Ilja van Sprundel dari IOActive
SQLite
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Beberapa kerentanan di SQLite v3.8.5
Deskripsi: Beberapa kerentanan muncul di SQLite v3.8.5. Masalah ini telah diatasi dengan memperbarui SQLite ke versi 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telephony
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang lokal dapat melakukan panggilan telepon tanpa sepengetahuan pengguna saat menggunakan Kontinuitas
Deskripsi: Masalah terjadi saat pemeriksaan pengesahan untuk melakukan panggilan telepon. Masalah ini telah diatasi melalui pemeriksaan otorisasi yang lebih baik.
CVE-ID
CVE-2015-3785 : Dan Bastone dari Gotham Digital Science
Terminal
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Teks perusak yang berbahaya dapat menyesatkan pengguna di Terminal
Deskripsi: Terminal tidak menangani karakter penimpaan dua arah dengan cara yang sama saat menampilkan teks dan saat memilih teks. Masalah ini telah diatasi dengan menekan karakter penimpaan dua arah di Terminal.
CVE-ID
CVE-2015-5883 : Lukas Schauer (@lukas2511)
tidy
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori terjadi di tidy. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5522 : Fernando Muñoz dari NULLGroup.com
CVE-2015-5523 : Fernando Muñoz dari NULLGroup.com
Time Machine
Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru
Dampak: Penyerang lokal dapat memperoleh akses ke item rantai kunci
Deskripsi: Masalah terjadi di cadangan oleh kerangka Time Machine Masalah ini telah diatasi melalui cakupan cadangan Time Machine yang lebih baik.
CVE-ID
CVE-2015-5854 : Jonas Magazinius dari Assured AB
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.