Mengenai konten keamanan macOS High Sierra 10.13
Dokumen ini menjelaskan konten keamanan macOS High Sierra 10.13.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
macOS High Sierra 10.13
802.1X
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan di TLS 1.0
Deskripsi: Masalah keamanan protokol telah diatasi dengan menyalakan TLS 1.1 dan TLS 1.2.
CVE-2017-13832: Doug Wussler dari Florida State University
apache
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di Apache
Deskripsi: Beberapa masalah terjadi di Apache. Masalah ini telah diatasi dengan memperbarui Apache ke versi 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Pengaturan Akun Apple
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang lokal mungkin memperoleh akses ke token autentikasi iCloud
Deskripsi: Masalah terjadi dalam penyimpanan token rahasia. Masalah ini telah diatasi dengan menempatkan token dalam Rantai Kunci.
CVE-2017-13909: Andreas Nilsson
AppleScript
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Mendekompilasi AppleScript dengan osadecompile mungkin mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2017-13809: bat0s
Application Firewall
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Pengaturan firewall aplikasi yang ditolak sebelumnya dapat diterapkan setelah peningkatan
Deskripsi: Masalah peningkatan muncul saat menangani pengaturan firewall. Masalah ini telah diatasi melalui penanganan pengaturan firewall yang ditingkatkan selama peningkatan.
CVE-2017-7084: peneliti anonim
AppSandbox
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Beberapa masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-7074: Daniel Jalkut dari Red Sweater Software
ATS
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2017-13820: John Villamil, Doyensec
Audio
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Menguraikan file QuickTime perusak berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-13807: Yangkang (@dnpushme) dari Qihoo 360 Qex Team
Captive Network Assistant
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Pengguna lokal mungkin tanpa diketahui mengirim kata sandi yang tidak dienkripsi melalui jaringan
Deskripsi: Status keamanan browser portal terikat tidak jelas. Masalah ini telah diatasi dengan visibilitas status keamanan browser portal terikat yang ditingkatkan.
CVE-2017-7143: Matthew Green dari Johns Hopkins University
CFNetwork
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13829: Niklas Baumstark dan Samuel Gro bekerja sama dengan Trend Micro's Zero Day Initiative
CVE-2017-13833: Niklas Baumstark dan Samuel Gro bekerja sama dengan Trend Micro's Zero Day Initiative
Proxy CFNetwork
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Beberapa masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-7083: Abhinav Bansal dari Zscaler Inc.
CFString
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Pembacaan di luar batas telah diatasi dengan memperbarui Opus versi 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) dari Mobile Threat Research Team, Trend Micro
CoreText
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses file font perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
CoreTypes
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses laman web perusak berbahaya dapat mengakibatkan peningkatan image disk
Deskripsi: Masalah logika telah diatasi melalui pembatasan yang ditingkatkan.
CVE-2017-13890: Apple, Theodor Ragnar Gislason dari Syndis
DesktopServices
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang lokal dapat mengamati data pengguna yang tidak terlindungi
Deskripsi: Masalah akses file terjadi pada file folder beranda tertentu. Masalah ini telah diatasi dengan peningkatan pembatasan akses.
CVE-2017-13851: Henrique Correa de Amorim
Directory Utility
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang lokal mungkin dapat memperkirakan ID Apple pemilik komputer
Deskripsi: Masalah izin muncul saat menangani ID Apple. Masalah ini telah diatasi dengan kontrol akses yang ditingkatkan.
CVE-2017-7138: Daniel Kvak dari Masaryk University
file
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah dalam file
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 5.30.
CVE-2017-7121: ditemukan oleh OSS-Fuzz
CVE-2017-7122: ditemukan oleh OSS-Fuzz
CVE-2017-7123: ditemukan oleh OSS-Fuzz
CVE-2017-7124: ditemukan oleh OSS-Fuzz
CVE-2017-7125: ditemukan oleh OSS-Fuzz
CVE-2017-7126: ditemukan oleh OSS-Fuzz
file
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah dalam file
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 5.31.
CVE-2017-13815
Fonts (Fon)
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Merender teks yang tidak tepercaya dapat mengakibatkan pemalsuan
Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.
CVE-2017-13828: Leonard Grey dan Robert Sesek dari Google Chrome
fsck_msdos
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13811: V.E.O (@VYSEa) di Mobile Advanced Threat Team dari Trend Micro
fsck_msdos
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13835: peneliti anonim
Heimdal
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang di posisi jaringan hak istimewa dapat meniru layanan
Deskripsi: Masalah validasi muncul saat menangani nama layanan KDC-REP. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni, dan Nico Williams
Help Viewer
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: File HTML yang dikarantina dapat mengeksekusi lintas asal JavaScript arbitrer
Deskripsi: Masalah skrip lintas situs muncul di Help Viewer. Masalah ini telah diatasi dengan menghapus file yang terpengaruh.
CVE-2017-13819: Filippo Cavallarin dari SecuriTeam Secure Disclosure
HFS
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13830: Sergej Schumilo dari Ruhr-University Bochum
ImageIO
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2017-13831: Glen Carmichael
Installer
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi yang jahat mungkin dapat mengakses kunci pembuka FileVault
Deskripsi: Masalah ini telah diatasi dengan menghapus hak tambahan.
CVE-2017-13837: Patrick Wardle dari Synack
IOAcceleratorFamily
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13906
IOFireWireFamily
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-7077: Brandon Azad
IOFireWireFamily
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng dari Alibaba Inc., Benjamin Gnahm (@mitp0sh) dari PDX
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-7114: Alex Plaskett dari MWR InfoSecurity
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah izin muncul di penghitung paket kernel. Masalah ini telah diatasi melalui validasi izin yang ditingkatkan.
CVE-2017-13810: Zhiyun Qian dari University of California, Riverside
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2017-13818: NCSC (National Cyber Security Centre) Inggris
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse dari Semmle Ltd.
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13843: peneliti anonim, peneliti anonim
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13854: shrek_wzw dari Qihoo 360 Nirvan Team
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses biner mach yang rusak dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi yang ditingkatkan.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mempelajari informasi mengenai keberadaan dan pengoperasian aplikasi lain pada perangkat.
Deskripsi: Aplikasi dapat mengakses informasi aktivitas jaringan yang dikelola oleh sistem operasi yang tidak dibatasi. Masalah ini telah diatasi dengan mengurangi informasi yang tersedia untuk aplikasi pihak ketiga.
CVE-2017-13873: Xiaokuan Zhang dan Yinqian Zhang dari The Ohio State University, Xueqiang Wang dan XiaoFeng Wang dari Indiana University Bloomington, dan Xiaolong Bai dari Tsinghua University
kext tools
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kesalahan logika dalam pemuatan kext telah diatasi dengan penanganan kondisi yang ditingkatkan.
CVE-2017-13827: peneliti anonim
libarchive
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Membuka arsip perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-13813: ditemukan oleh OSS-Fuzz
CVE-2017-13816: ditemukan oleh OSS-Fuzz
libarchive
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Membuka arsip perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul di libarchive. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-13812: ditemukan oleh OSS-Fuzz
libarchive
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2016-4736: peneliti anonim
libc
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah kehabisan sumber daya secara global telah diatasi melalui algoritme yang ditingkatkan.
CVE-2017-7086: Russ Cox dari Google
libc
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-1000373
libexpat
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di expat
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 2.2.1
CVE-2016-9063
CVE-2017-9233
libxml2
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah dereferensi penunjuk null telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-4302: Gustavo Grieco
libxml2
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-5130: peneliti anonim
CVE-2017-7376: peneliti anonim
libxml2
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2017-9050: Mateusz Jurczyk (j00ru) dari Google Project Zero
libxml2
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Memproses XML perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-2017-9049: Wei Lei dan Liu Yang - Nanyang Technological University di Singapura
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Pengirim email mungkin dapat memperkirakan alamat IP penerima email
Deskripsi: Mematikan "Muat konten di pesan dari jarak jauh" tidak berlaku untuk semua kotak mail. Masalah ini telah diatasi dengan propagasi pengaturan yang ditingkatkan.
CVE-2017-7141: John Whitehead dari The New York Times
Mail Drafts
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat menghalangi konten mail
Deskripsi: Masalah enkripsi muncul saat menangani draf mail. Masalah ini telah diatasi dengan penanganan yang ditingkatkan terhadap draf mail yang akan dikirim dengan dienkripsi.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE dari Marseille (Prancis), peneliti anonim
ntp
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di ntp
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 4.2.8p10
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy dari Cisco
Arsitektur Pembuatan Skrip
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Mendekompilasi AppleScript dengan osadecompile mungkin mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13824: peneliti anonim
PCRE
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di pcre
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 8.40.
CVE-2017-13846
Postfix
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di Postfix
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 3.2.2.
CVE-2017-10140: peneliti anonim
Lihat Cepat
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Lihat Cepat
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Menguraikan dokumen kantor perusak berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2017-13823: Xiangkun Jia dari Institute of Software Chinese Academy of Sciences
Manajemen Jarak Jauh
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13808: peneliti anonim
Sandbox
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-13838: Alastair Houghton
Screen Lock
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Permintaan Firewall aplikasi mungkin muncul pada Jendela Masuk
Deskripsi: Masalah pengelolaan jendela telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2017-7082: Tim Kingman
Keamanan
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Sertifikat yang dicabut mungkin dipercaya
Deskripsi: Masalah validasi sertifikat terjadi saat menangani data pencabutan. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2017-7080: Sven Driemecker dari adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) dari Bærum kommune, peneliti anonim, peneliti anonim
SMB
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Penyerang lokal mungkin dapat menjalankan file teks non-executable melalui berbagi SMB
Deskripsi: Masalah dalam menangani izin file telah diatasi dengan peningkatan validasi.
CVE-2017-13908: peneliti anonim
Spotlight
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Spotlight dapat menampilkan hasil untuk file yang bukan berasal dari pengguna lain
Deskripsi: Masalah akses muncul di Spotlight. Masalah ini telah diatasi melalui pembatasan akses yang ditingkatkan.
CVE-2017-13839: Ken Harris dari Free Robot Collective
Spotlight
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengakses file terbatas
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan pada aplikasi.
CVE-2017-13910
SQLite
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di SQLite
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 3.19.3.
CVE-2017-10989: ditemukan oleh OSS-Fuzz
CVE-2017-7128: ditemukan oleh OSS-Fuzz
CVE-2017-7129: ditemukan oleh OSS-Fuzz
CVE-2017-7130: ditemukan oleh OSS-Fuzz
SQLite
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-7127: peneliti anonim
zlib
Tersedia untuk: OS X Mountain Lion 10.8 dan versi lebih baru
Dampak: Beberapa masalah di zlib
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Penghargaan tambahan
Kami ingin mengucapkan terima kasih kepada Jon Bottarini dari HackerOne atas bantuannya.
Keamanan
Kami ingin mengucapkan terima kasih kepada Abhinav Bansal dari Zscaler, Inc. atas bantuannya.
NSWindow
Kami ingin mengucapkan terima kasih kepada Trent Apted dari tim Google Chrome atas bantuannya.
Inspektur Web WebKit
Kami ingin mengucapkan terima kasih kepada Ioan Bizău dari Bloggify atas bantuannya.
Pembaruan Tambahan macOS High Sierra 10.13
Unduhan macOS High Sierra 10.13 yang baru mencakup konten keamanan Pembaruan Tambahan macOS High Sierra 10.13.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.