Mengenai konten keamanan OS X Yosemite v10.10

Dokumen ini mendeskripsikan mengenai konten keamanan OS X Yosemite v10.10.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

OS X Yosemite v10.10

  • 802.1X

    Dampak: Penyerang dapat memperoleh informasi pengesahan Wi-Fi

    Penjelasan: Penyerang bisa meniru sebagai titik akses Wi-Fi, menawarkan untuk mengesahkan dengan LEAP, merusak campuran MS-CHAPv1, dan menggunakan informasi pengesahan yang diperoleh untuk disahkan pada titik akses yang dimaksud sekalipun titik akses itu mendukung metode pengesahan yang lebih kuat. Masalah ini telah diatasi dengan menonaktifkan LEAP secara default.

    CVE-ID

    CVE-2014-4364 : Pieter Robyns, Bram Bonne, Peter Quax, dan Wim Lamotte dari Universiteit Hasselt

  • Server File AFP

    Dampak: Penyerang jarak jauh bisa menentukan semua alamat jaringan sistem

    Deskripsi: Server file AFP mendukung perintah yang mengembalikan semua alamat jaringan sistem. Masalah ini telah diatasi dengan menghilangkan penunjuk dari hasil tersebut.

    CVE-ID

    CVE-2014-4426 : Craig Young dari Tripwire VERT

  • apache

    Dampak: Beberapa kerentanan dalam Apache

    Deskripsi: Banyak kerentanan muncul dalam Apache, yang paling serius dapat mengakibatkan penolakan layanan. Masalah-masalah ini telah diatasi dengan memperbarui Apache ke versi 2.4.9.

    CVE-ID

    CVE-2013-6438

    CVE-2014-0098

  • Sandbox App

    Dampak: Aplikasi yang dibatasi oleh pembatasan sandbox dapat mengurangi API aksesibilitas

    Deskripsi: Aplikasi sandbox dapat menyalahgunakan API aksesibilitas tanpa sepengetahuan pengguna. Hal ini telah diatasi dengan mengharuskan persetujuan administrator untuk menggunakan API aksesibilitas yang berbasis per aplikasi.

    CVE-ID

    CVE-2014-4427 : Paul S. Ziegler dari Reflare UG

  • Bash

    Dampak: Pada konfigurasi tertentu, penyerang mungkin dapat menjalankan perintah shell arbitrer secara jarak jauh

    Deskripsi: Ada masalah di penguraian variabel lingkungan Bash. Masalah ini diatasi dengan penguraian variabel lingkungan yang ditingkatkan dengan mengoptimalkan pendeteksian bagian akhir pernyataan fungsi.

    Pembaruan ini juga menggabungkan perubahan CVE-2014-7169 yang disarankan, yang mengatur ulang status pengurai.

    Selain itu, pembaruan ini menambahkan ruang nama untuk fungsi yang diekspor dengan membuat dekorator fungsi guna mencegah pelewatan header ke Bash yang tidak diinginkan. Nama-nama dari semua variabel lingkungan yang memperkenalkan definisi fungsi harus memiliki prefiks "__BASH_FUNC<" dan sufiks ">()" guna mencegah pelewatan fungsi yang tidak diinginkan melalui header HTTP.

    CVE-ID

    CVE-2014-6271: Stephane Chazelas

    CVE-2014-7169: Tavis Ormandy

  • Bluetooth

    Dampak: Perangkat input Bluetooth berbahaya mungkin menghalangi pemasangan

    Deskripsi: Koneksi yang tidak dienkripsi diizinkan dari perangkat Energi Rendah Bluetooth kelas Perangkat Antarmuka Manusia. Jika Mac berpasangan dengan perangkat tersebut, penyerang dapat menipu perangkat resmi untuk mengembangkan koneksi. Masalah ini telah diatasi dengan menyangkal koneksi HID yang tidak dienkripsi.

    CVE-ID

    CVE-2014-4428 : Mike Ryan dari iSEC Partners

  • CFPreferences

    Dampak: Preferensi 'masukkan kata sandi setelah tidur atau screen saver dimulai' tidak dapat diterima sampai setelah muat ulang

    Deskripsi: Masalah pengelolaan sesi muncul di penanganan pengaturan preferensi sistem. Masalah ini diatasi melalui pelacakan sesi yang ditingkatkan.

    CVE-ID

    CVE-2014-4425

  • CoreStorage

    Dampak: Volume yang dienkripsi mungkin akan tetap terkunci ketika dikeluarkan

    Deskripsi: Bila volume yang dienkripsi dikeluarkan secara logis saat dimount, volume dimount namun kunci disimpan, maka volume tersebut mungkin telah dimount lagi tanpa kata sandi. Masalah ini telah diatasi dengan menghapus kunci pada saat dikeluarkan.

    CVE-ID

    CVE-2014-4430 : Benjamin King di See Ben Click Computer Services LLC, Karsten Iwen, Dustin Li (http://dustin.li/), Ken J. Takekoshi, dan peneliti anonim lainnya

  • CUPS

    Dampak: Pengguna lokal dapat menjalankan kode arbitrer dengan hak istimewa sistem

    Deskripsi: Bila antarmuka web CUPS menayangkan file, symlink akan diikuti. Pengguna lokal dapat membuat symlink ke file arbitrer dan mengambilnya melalui antarmuka web. Masalah ini dapat diatasi dengan melarang symlink untuk ditayangkan melalui antarmuka web CUPS.

    CVE-ID

    CVE-2014-3537

  • Dock

    Dampak: Dalam beberapa kondisi, jendela mungkin terlihat meskipun layar terkunci

    Deskripsi: Masalah manajemen kondisi terjadi saat penanganan kunci layar. Masalah ini telah diatasi melalui pelacakan status yang ditingkatkan.

    CVE-ID

    CVE-2014-4431 : Emil Sjölander dari Umeå University

  • fdesetup

    Dampak: perintah fdesetup dapat memberikan status yang menyesatkan untuk status enkripsi pada disk

    Deskripsi: Setelah memperbarui pengaturan, namun sebelum pemuatan ulang, perintah fdesetup memberikan status yang menyesatkan. Masalah ini telah diatasi melalui pelaporan status yang ditingkatkan.

    CVE-ID

    CVE-2014-4432

  • iCloud Temukan Mac Saya

    Dampak: PIN mode iCloud Lost mungkin telah dipakai paksa dengan kasar

    Deskripsi: Masalah status yang terjadi terus menerus dalam pembatasan dapat menyebabkan serangan paksaan kasar pada PIN mode iCloud Lost. Masalah ini telah diatasi melalui peningkatan status yang terus-menerus saat muat ulang.

    CVE-ID

    CVE-2014-4435 : knoy

  • IOAcceleratorFamily

    Dampak: Aplikasi dapat menyebabkan penyangkalan layanan

    Penjelasan: Pengaksesan alamat penunjuk NULL ada di driver IntelAccelerator. Masalah ini diatasi dengan penanganan kesalahan yang ditingkatkan.

    CVE-ID

    CVE-2014-4373 : cunzhang dari Adlab di Venustech

  • IOHIDFamily

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Pengaksesan alamat penunjuk null muncul saat IOHIDFamily menangani properti pemetaan kunci. Masalah ini telah diatasi melalui validasi yang ditingkatkan dari properti pemetaan kunci IOHIDFamily.

    CVE-ID

    CVE-2014-4405 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Tumpukan kelebihan buffer muncul saat IOHIDFamily menangani properti pemetaan kunci. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4404 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Dampak: Aplikasi dapat menyebabkan penyangkalan layanan

    Deskripsi: Pembaca memori di luar batas ada di driver IOHIDFamily Masalah tersebut telah diatasi melalui validasi masukan yang ditingkatkan.

    CVE-ID

    CVE-2014-4436: cunzhang dari Adlab di Venustech

  • IOHIDFamily

    Dampak: Seorang pengguna mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Penulis di luar batas muncul di driver IOHIDFamily. Masalah tersebut telah diatasi melalui validasi masukan yang ditingkatkan.

    CVE-ID

    CVE-2014-4380 : cunzhang dari Adlab di Venustech

  • IOKit

    Dampak: Aplikasi berbahaya mungkin dapat membaca data yang tidak diinisialisasi dari memori kernel

    Deskripsi: Masalah akses memori yang tidak diinisialisasi muncul saat menangani fungsi IOKit. Masalah ini telah diatasi melalui inisialisasi memori yang ditingkatkan.

    CVE-ID

    CVE-2014-4407 : @PanguTeam

  • IOKit

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi muncul saat menangani kolom metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi muncul saat menangani kolom metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4418 : Ian Beer dari Google Project Zero

  • Kernel

    Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Beberapa memori yang tidak diinisialisasi muncul di antarmuka statistik jaringan, yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori tambahan.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna dari Tim Keamanan Google

    CVE-2014-4419 : Fermin J. Serna dari Tim Keamanan Google

    CVE-2014-4420 : Fermin J. Serna dari Tim Keamanan Google

    CVE-2014-4421 : Fermin J. Serna dari Tim Keamanan Google

  • Kernel

    Dampak: Sistem file perusak yang berbahaya dapat menyebabkan sistem mati tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kelebihan buffer muncul di penanganan garpu sumber HFS. Dampak: sistem file perusak yang berbahaya dapat menyebabkan sistem mati tiba-tiba atau eksekusi kode arbitrer dengan hak istimewa kernel. Masalah tersebut diatasi melalui pemeriksaan batas-batas yang ditingkatkan.

    CVE-ID

    CVE-2014-4433 : Maksymilian Arciemowicz

  • Kernel

    Dampak: Sistem file perusak yang berbahaya dapat menyebabkan sistem mati tiba-tiba

    Deskripsi: Masalah pengaksesan alamat NULL terjadi saat menangani nama file HFS. Sistem file perusak yang berbahaya dapat menyebabkan sistem mati tiba-tiba. Masalah ini ditangani dengan menghindari pengaksesan alamat NULL.

    CVE-ID

    CVE-2014-4434 : Maksymilian Arciemowicz

  • Kernel

    Dampak: Pengguna lokal dapat menyebabkan penghentian sistem secara tiba-tiba atau mengeksekusi kode arbitrer di kernel

    Deskripsi: Masalah pengosongan ganda muncul saat menangani port Mach. Masalah ini telah diatasi melalui validasi port Mach yang ditingkatkan.

    CVE-ID

    CVE-2014-4375 : seorang peneliti anonim

  • Kernel

    Dampak: Orang dengan posisi jaringan yang memiliki hak istimewa dapat mengakibatkan penolakan layanan

    Deskripsi: Masalah kondisi pacu muncul saat menangani paket IPv6. Masalah ini telah diatasi dengan pemeriksaan kondisi kunci yang ditingkatkan.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dampak: Pengguna lokal dapat menyebabkan penghentian sistem secara tiba-tiba atau mengeksekusi kode arbitrer di kernel

    Deskripsi: Masalah pembacaan di luar batas muncul di rt_setgate. Hal ini dapat mengakibatkan pengungkapan memori atau kerusakan memori. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4408

  • Kernel

    Dampak: Pengguna lokal dapat menyebabkan penghentian sistem secara tiba-tiba

    Deskripsi: Kepanikan yang dapat dicapai muncul saat menangani pesan yang dikirim ke soket kontrol sistem. Masalah ini diatasi melalui validasi tambahan pesan

    CVE-ID

    CVE-2014-4442 : Darius Davis dari VMware

  • Kernel

    Dampak: Beberapa pengukur penguatan kernel dapat diabaikan

    Deskripsi: Penghasil angka acak yang digunakan untuk pengukur penguatan kernel di awal proses boot tidak aman dalam segi kriptografi. Beberapa outputnya dapat ditunjukkan dari ruang pengguna, sehingga pemintasan pengukur penguatan dapat dilakukan. Masalah ini telah diatasi dengan menggunakan algoritma yang aman dalam segi kriptografi.

    CVE-ID

    CVE-2014-4422 : Tarjei Mandt dari Azimuth Security

  • LaunchServices

    Dampak: Aplikasi lokal dapat mengabaikan pembatasan sandbox

    Deskripsi: Antarmuka LaunchServices untuk mengatur pengendali jenis konten memungkinkan aplikasi sandbox untuk menetapkan pengendali bagi jenis konten yang ada. Aplikasi yang telah disusupi dapat menggunakan ini untuk mengabaikan pembatasan sandbox. Masalah ini telah diatasi dengan membatasi aplikasi sandbox untuk menentukan pengendali jenis konten.

    CVE-ID

    CVE-2014-4437 : Meder Kydyraliev dari Tim Keamanan Google

  • LoginWindow

    Dampak: Terkadang layar mungkin tidak mengunci

    Deskripsi: Kondisi pacu muncul di LoginWindow, yang terkadang akan mencegah layar untuk mengunci. Masalah ini diatasi dengan mengubah susunan operasi.

    CVE-ID

    CVE-2014-4438 : Harry Sintonen dari nSense, Alessandro Lobina dari Helvetia Insurances, Patryk Szlagowski dari Funky Monkey Labs

  • Mail

    Dampak: Mail mungkin mengirim email ke penerima yang tidak disengaja

    Deskripsi: Inkonsistensi antarmuka pengguna pada aplikasi Mail yang dihasilkan dalam email yang dikirim ke alamat yang dihapus dari daftar penerima. Masalah ini telah diatasi dengan pemeriksaan konsistensi antarmuka pengguna yang ditingkatkan.

    CVE-ID

    CVE-2014-4439 : Patrick J Power dari Melbourne, Australia

  • Profil Konfigurasi Desktop MCX

    Dampak: Bila profil konfigurasi seluler dicopot instalasinya, pengaturannya tidak akan dihapus

    Deskripsi: Pengaturan proxy web yang diinstal dengan profil konfigurasi seluler tidak dihapus ketika profil dihapus instalasinya. Masalah dapat diatasi melalui peningkatan penanganan pencopotan profil.

    CVE-ID

    CVE-2014-4440 : Kevin Koster dari Cloudpath Networks

  • NetFS Client Framework

    Dampak: Pembagian File mungkin memasukkan status yang tidak dapat dinonaktifkan

    Deskripsi: Masalah pengelolaan status muncul di kerangka Pembagian File Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

    CVE-ID

    CVE-2014-4441 : Eduardo Bonsi dari BEARTCOMMUNICATIONS

  • QuickTime

    Dampak: Memutar file m4a perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani sampel audio. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4351 : Karl Smith dari NCC Group

  • Safari

    Dampak: Riwayat halaman yang baru saja dikunjungi di tab yang terbuka akan tetap ada setelah menghapus riwayat

    Deskripsi: Menghapus riwayat Safari tidak menghapus riwayat terdahulu/setelahnya untuk tab yang terbuka. Masalah ini telah diatasi dengan menghapus riwayat terdahulu/setelahnya.

    CVE-ID

    CVE-2013-5150

  • Safari

    Dampak: Ikut serta untuk menampilkan pemberitahuan dari situs web perusak yang berbahaya dapat menyebabkan Pemberitahuan Push Safari hilang

    Deskripsi: Masalah pengecualian yang tidak tertangkap di penanganan SafariNotificationAgent di Pemberitahuan Push Safari. Masalah ini telah diatasi dengan penangan Pemberitahuan Push Safari yang ditingkatkan.

    CVE-ID

    CVE-2014-4417 : Marek Isalski dari Faelix Limited

  • Transpor Aman

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Penyerang dapat memaksa penggunaan SSL 3.0, meskipun ketika server mendukung versi TLS yang lebih baik, dengan mencekal TLS 1.0 dan percobaan koneksi yang lebih tinggi. Masalah ini telah diatasi dengan menonaktifkan rangkaian chiper ketika percobaan koneksi gagal.

    CVE-ID

    CVE-2014-3566 : Bodo Moeller, Thai Duong, dan Krzysztof Kotowicz dari Tim Keamanan Google

  • Keamanan

    Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

    Deskripsi: Dereferensi null muncul saat menangani data ASN.1. Masalah ini telah diatasi melalui validasi data ASN.1.

    CVE-ID

    CVE-2014-4443 : Coverity

  • Keamanan

    Dampak: Pengguna lokal dapat memiliki akses ke tiket Kerberos pengguna lainnya

    Deskripsi: Masalah pengelolaan status muncul di SecurityAgent. Ketika Pengguna Cepat Beralih, terkadang tiket Kerberos untuk peralihan ke pengguna akan ditempatkan di cache untuk pengguna sebelumnya. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

    CVE-ID

    CVE-2014-4444 : Gary Simon dari Sandia National Laboratories, Ragnar Sundblad dari KTH Royal Institute of Technology, Eugene Homyakov dari Kaspersky Lab

  • Keamanan - Penandaan Kode

    Dampak: Aplikasi yang dimodifikasi dapat tetap dirilis

    Deskripsi: Aplikasi yang masuk ke OS X sebelum OS X Mavericks 10.9 atau aplikasi yang menggunakan aturan sumber daya khusus, mungkin rentan akan modifikasi yang tidak akan mengesahkan tanda tangan. Pada sistem yang mengatur hanya aplikasi dari Mac App Store dan diidentifikasi pengembang, aplikasi modifikasi yang diunduh mungkin dapat diperbolehkan untuk dijalankan seakan-akan memang resmi. Masalah ini telah diatasi dengan menolak tanda tangan paket dengan amplop yang menyertakan sumber daya yang dapat memengaruhi eksekusi. OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004 untuk OS X Mountain Lion v10.8.5 sudah berisi perubahan ini.

    CVE-ID

    CVE-2014-4391 : Christopher Hickstein yang bekerja dengan HP's Zero Day Initiative

Catatan: OS X Yosemite menyertakan Safari 8.0, yang bekerja sama dengan konten keamanan Safari 7.1. Untuk detail lebih lanjut, kunjungi Mengenai konten keamanan Safari 7.1.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: