Tentang konten keamanan OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001

Dokumen ini menjelaskan konten keamanan OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001

  • Server AFP

    Tersedia untuk: OS X Mavericks v10.9.5

    Dampak: Penyerang jarak jauh dapat menentukan semua alamat jaringan sistem

    Deskripsi: Server file AFP mendukung perintah yang mengembalikan semua alamat jaringan sistem. Masalah ini telah diatasi dengan menghapus alamat dari hasil tersebut.

    CVE-ID

    CVE-2014-4426 : Craig Young dari Tripwire VERT

  • bash

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa kerentanan di bash, termasuk salah satu yang dapat memungkinkan penyerang lokal mengeksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan terjadi di bash. Masalah ini telah diatasi dengan memperbarui bash ke level patch 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kesalahan penandatanganan bilangan bulat terjadi di IOBluetoothFamily yang memungkinkan manipulasi memori kernel. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas. Masalah ini tidak memengaruhi sistem OS X Yosemite.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kesalahan terjadi di driver Bluetooth yang memungkinkan aplikasi perusak yang berbahaya mengontrol ukuran tulisan ke memori kernel. Masalah tersebut telah diatasi melalui validasi masukan tambahan.

    CVE-ID

    CVE-2014-8836 : Ian Beer dari Google Project Zero

  • Bluetooth

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah keamanan terjadi di driver Bluetooth driver, memungkinkan aplikasi perusak yang berbahaya mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah telah diatasi melalui validasi masukan tambahan.

    CVE-ID

    CVE-2014-8837 : Roberto Paleari dan Aristide Fattori dari Emaze Networks

  • Cache CFNetwork

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Cache situs web mungkin tidak sepenuhnya dibersihkan setelah menutup penelusuran pribadi.

    Deskripsi: Masalah privasi muncul ketika data penelusuran tetap berada di cache setelah menutup penelusuran pribadi. Masalah ini telah diatasi melalui perubahan perilaku cache.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat terjadi saat menangani file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano dari Binamuse VRT melalui iSIGHT Partners GVP Program

  • Perangkat lunak CPU

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1, untuk: MacBook Pro Retina, MacBook Air (Mid 2013 dan versi lebih baru), iMac (Late 2013 dan versi lebih baru), Mac Pro (Akhir 2013)

    Dampak: Perangkat Thunderbolt perusak yang berbahaya dapat memengaruhi kilatan firmware

    Deskripsi: Perangkat Thunderbolt dapat mengubah firmware host jika terhubung selama pembaruan EFI. Masalah ini telah diatasi dengan tidak memuat pilihan ROM selama pembaruan.

    CVE-ID

    CVE-2014-4498 : Trammell Hudson dari Two Sigma Investments

  • Kerangka CommerceKit

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Penyerang yang memiliki akses ke sistem dapat memulihkan pengesahan ID Apple

    Deskripsi: Masalah terjadi saat menangani catatan App Store. Proses App Store dapat mencatat pengesahan ID Apple di catatan saat pencatatan tambahan diaktifkan. Masalah ini telah diatasi dengan menolak pencatatan pengesahan.

    CVE-ID

    CVE-2014-4499 : Sten Petersen

  • CoreGraphics

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa aplikasi pihak ketiga dengan acara entri teks dan tetikus yang tidak aman dapat mencatat acara tersebut

    Deskripsi: Karena kombinasi dari variabel yang tidak berinisial dan pengalokasi khusus aplikasi, acara entri teks dan tetikus yang tidak aman mungkin telah dicatat. Masalah ini telah diatasi dengan memastikan bahwa pencatatan dimatikan secara default. Masalah ini tidak memengaruhi sistem sebelum OS X Yosemite.

    CVE-ID

    CVE-2014-1595 : Steven Michaud dari Mozilla bekerja dengan Kent Howard

  • CoreGraphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani file PDF. Masalah tersebut telah diatasi melalui pemeriksaan peningkatan batas. Masalah ini tidak memengaruhi sistem OS X Yosemite.

    CVE-ID

    CVE-2014-8816 : Mike Myers, dari Digital Operatives LLC

  • CoreSymbolication

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah ketidakjelasan jenis terjadi saat coresymbolicationd menangani pesan XPC. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan jenis.

    CVE-ID

    CVE-2014-8817 : Ian Beer dari Google Project Zero

  • FontParser

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Membuka file .dfont perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi saat menangani file .dfont. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah bekerja dengan HP's Zero Day Initiative

  • FontParser

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4483 : Apple

  • Foundation

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Melihat file XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer terjadi di parser XML. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4485 : Apple

  • Driver Intel Graphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa kerentanan di driver grafis Intel

    Deskripsi: Beberapa kerentanan terjadi di driver grafus Intel, masalah paling serius dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem. Pembaruan ini mengatasi masalah tersebut dengan pemeriksaan batas tambahan.

    CVE-ID

    CVE-2014-8819 : Ian Beer dari Google Project Zero

    CVE-2014-8820 : Ian Beer dari Google Project Zero

    CVE-2014-8821 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Dereferensi penunjuk null terjadi di IOAcceleratorFamily saat menangani jenis klien pengguna IOService khusus. Masalah ini telah diatasi dengan peningkatan validasi konteks IOAcceleratorFamily.

    CVE-ID

    CVE-2014-4486 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kelebihan buffer terjadi di IOHIDFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4487 : Tim TaiG Jailbreak

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi terjadi di IOHIDFamily saat menangani metadata antrean sumber daya. Masalah ini telah diatasi dengan peningkatan validasi metadata.

    CVE-ID

    CVE-2014-4488 : Apple

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Dereferensi penunjuk null terjadi di IOHIDFamily saat menangani antrean acara. Masalah ini telah diatasi dengan peningkatan validasi inisialisasi antrean acara IOHIDFamily.

    CVE-ID

    CVE-2014-4489 : @beist

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel

    Deskripsi: Masalah pemeriksaan batas muncul di klien pengguna yang ditawarkan oleh driver IOHIDFamily yang memungkinkan aplikasi perusak berbahaya menimpa bagian arbitrer dari ruang alamat kernel. Masalah tersebut telah diatasi dengan menghapus metode klien pengguna yang rentan.

    CVE-ID

    CVE-2014-8822 : Vitaliy Toropov bekerja dengan Zero Day Initiative HP

  • IOKit

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kelebihan bilangan bulat terjadi saat menangani fungsi IOKit. Masalah ini telah diatasi dengan peningkatan validasi argumen IOKit API.

    CVE-ID

    CVE-2014-4389 : Ian Beer dari Google Project Zero

  • IOUSBFamily

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi dengan hak istimewa mungkin dapat membaca data arbitrer dari memori kernel

    Deskripsi: Masalah memori terjadi saat menangani fungsi klien pengguna pengontrol IOUSB. Masalah ini telah diatasi dengan peningkatan validasi argumen.

    CVE-ID

    CVE-2014-8823 : Ian Beer dari Google Project Zero

  • Kerberos

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Perpustakaan libgssapi Kerberos mengembalikan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan peningkatan manajemen kondisi.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Penentuan mode cache khusus memungkinkan penulisan ke segmen memori bersama hanya baca kernel. Masalah ini telah diatasi dengan tidak memberikan izin menulis sebagai efek samping dari beberapa mode cache khusus.

    CVE-ID

    CVE-2014-4495 : Ian Beer dari Google Project Zero

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Masalah validasi terjadi saat menangani kolom metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi dengan peningkatan validasi metadata.

    CVE-ID

    CVE-2014-8824 : @PanguTeam

  • Kernel

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Penyerang lokal dapat menipu respons layanan direktori ke kernel, meningkatkan hak istimewa, atau memperoleh eksekusi kernel

    Description: Masalah terjadi di validasi identitysvc pada proses penyelesaian layanan direktori, penanganan bendera, dan penanganan kesalahan. Masalah ini telah diatasi dengan peningkatan validasi.

    CVE-ID

    CVE-2014-8825 : Alex Radocea dari CrowdStrike

  • Kernel

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

    Deskripsi: Beberapa masalah memori yang tidak terinisialisasi terjadi di antarmuka statistik jaringan, yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori tambahan.

    CVE-ID

    CVE-2014-4371 : Fermin J. Serna dari Tim Keamanan Google

    CVE-2014-4419 : Fermin J. Serna dari Tim Keamanan Google

    CVE-2014-4420 : Fermin J. Serna dari Tim Keamanan Google

    CVE-2014-4421 : Fermin J. Serna dari Tim Keamanan Google

  • Kernel

    Tersedia untuk: OS X Mavericks v10.9.5

    Dampak: Orang dengan posisi jaringan yang memiliki hak istimewa dapat menyebabkan penolakan layanan

    Deskripsi: Masalah kondisi pacu terjadi saat menangani paket IPv6. Masalah ini telah diatasi dengan peningkatan pemeriksaan kondisi kunci.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi berbahaya atau terkompromi mungkin dapat menentukan alamat di dalam kernel

    Deskripsi: Masalah pengungkapan informasi terjadi saat menangani API terkait dengan ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini telah diatasi dengan tidak menggeser alamat sebelum mengembalikannya.

    CVE-ID

    CVE-2014-4491 : @PanguTeam, Stefan Esser

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi terjadi saat menangani bidang metadata khusus pada objek IOSharedDataQueue. Masalah ini telah diatasi dengan relokasi metadata.

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: File JAR perusak yang berbahaya dapat memintasi pemeriksaan Gatekeeper

    Deskripsi: Masalah terjadi saat menangani peluncuran aplikasi yang memungkinkan file JAR perusak yang berbahaya memintas pemeriksaan Gatekeeper. Masalah ini telah diatasi dengan peningkatan metadata jenis file.

    CVE-ID

    CVE-2014-8826 : Hernan Ochoa dari Amplia Security

  • libnetcore

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App yang disandbox perusak yang berbahaya dapat membahayakan networkd daemon

    Deskripsi: Beberapa masalah ketidakjelasan jenis terjadi saat komunikasi antar proses. Dengan mengirim pesan berformat networkd perusak yang berbahaya, ada kemungkinan pesan tersebut mengeksekusi kode arbitrer sebagai proses networkd. Masalah tersebut telah diatasi melalui pemeriksaan jenis tambahan.

    CVE-ID

    CVE-2014-4492 : Ian Beer dari Google Project Zero

  • LoginWindow

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Mac tidak segera terkunci setelah bangun

    Deskripsi: Masalah terjadi saat mengolah layar kunci. Masalah tersebut telah diatasi melalui peningkatan pengolahan layar saat terkunci.

    CVE-ID

    CVE-2014-8827 : Xavier Bertels of Mono, dan beberapa penguji awal OS X

  • lukemftp

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Menggunakan alat ftp baris perintah utnuk mendapatkan file dari server http perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah perintah injeksi terjadi saat menangani pengalihan HTTP. Masalah ini telah diatasi dengan peningkatan validasi karakter khusus.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Menggunakan ntp daemon dengan otentikasi kriptografis yang diaktifkan dapat mengakibatkan bocornya informasi

    Deskripsi: Beberapa masalah validasi masukan terjadi di ntpd. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Beberapa kerentanan di OpenSSL 0.9.8za, termasuk salah satu yang dapat memungkinkan penyerang menurunkan versi sambungan untuk menggunakan rangkaian cipher yang lebih lemah saat aplikasi yang menggunakan perpustakaan

    Deskripsi: Beberapa kerentanan terjadi di OpenSSL 0.9.8za. Masalah tersebut telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: Prosesi yang disandbox dapat menggagalkan pembatasan sandbox

    Deskripsi: Masalah desain terjadi di cache profil sandbox yang memungkinkan aplikasi yang disandbox memperoleh akses menulis ke cache. Masalah ini telah diatasi dengan membatasi akses menulis ke jalur yang berisi segmen “com.apple.sandbox”. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Yosemite v10.10 atau versi lebih baru.

    CVE-ID

    CVE-2014-8828 : Apple

  • SceneKit

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    Dampak: Aplikasi perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer membahayakan informasi pengguna

    Deskripsi: Beberapa masalah tulisan di luar batas terjadi di SceneKit. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-8829 : Jose Duart dari Tim Keamanan Google

  • SceneKit

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Melihat file Collada perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer terjadi di SceneKit saat menangani file Collada. Melihat file Collada perusak yang berbahaya mungkin telah mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini telah diatasi dengan peningkatan validasi metadata.

    CVE-ID

    CVE-2014-8830 : Jose Duart dari Tim Keamanan Google

  • Keamanan

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi bertanda tangan yang diunduh dengan sertifikat ID Pengembang yang dibatalkan dapat memintasi pemeriksaan Gatekeeper

    Deskripsi: Masalah terjadi saat informasi sertifikat aplikasi cache telah dievaluasi. Masalah ini telah diatasi dengan peningkatan logic cache.

    CVE-ID

    CVE-2014-8838 : Apple

  • security_taskgate

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: App dapat mengakses item rantai kunci milik app lain

    Deskripsi: Masalah kontrol akses terjadi di Rantai kunci. Aplikasi yang ditandatangani dengan tanda tangan sendiri atau sertifikat ID Pengembang dapat mengakses item rantai kunci yang mengakses daftar kontrol berbasis grup rantai kunci. Masalah ini telah diatasi dengan memvalidasi identitas bertandatangan saat memberikan akses ke grup rantai kunci.

    CVE-ID

    CVE-2014-8831 : Apple

  • Spotlight

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Pengirim email dapat menentukan alamat IP penerima email

    Deskripsi: Spotlight tidak memerikas kondisi pengaturan "Muat konten jarak jauh di pesan" Mail. Masalah ini telah diatasi dengan pemeriksaan konfigurasi.

    CVE-ID

    CVE-2014-8839 : John Whitehead dari The New York Times, Frode Moe dari LastFriday.no

  • Spotlight

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Spotlight dapat menyimpan informasi yang tidak diharapkan ke hard drive eksternal

    Deskripsi: Masalah terjadi di Spotlight tempat konten memori telah dituliskan ke hard drive eksternal saat mengindeks. Masalah ini telah diatasi dengan pengelolaan memori yang lebih baik.

    CVE-ID

    CVE-2014-8832 : F-Secure

  • SpotlightIndex

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: Spotlight dapat menampilkan hasil untuk file yang bukan berasal dari pengguna lain

    Deskripsi: Masalah deserialisasi terjadi di Spotlight saat menangani cache izin. Pengguna yang menjalankan kueri Spotlight dapat menampilkan file hasil referensi pencarian ketika pengguna tidak memiliki hak istimewa yang layak untuk membaca. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-8833 : David J Peacock, Konsultan Teknologi Independen

  • sysmond

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

    Deskripsi: Kerentanan ketidakjelasan jenis terjadi di sysmond yanf memungkinkan aplikasi lokal meningkatkan hak istimewa. Masalah tersebut telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-8835 : Ian Beer dari Google Project Zero

  • UserAccountUpdater

    Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1

    Dampak: File preferensi terkait pencetakan mungkin berisi informasi sensitif tentang dokumen PDF

    Deskripsi: OS X Yosemite v10.10 mengatasi masalah saat menangani file PDF yang dilindungi kata sandi yang dibuat dari dialog Cetak yang menyertakan kata sandi di file preferensi pencetakan. Pembaruan ini menghapus informasi yang tidak relevan yang daapt muncul di file preferensi pencetakan.

    CVE-ID

    CVE-2014-8834 : Apple

Catatan: OS X Yosemite 10.10.2 sudah termasuk konten keamanan Safari 8.0.3.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: