Mengenai konten keamanan OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001
Dokumen ini menjelaskan konten keamanan OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.
OS X Yosemite v10.10.2 dan Pembaruan Keamanan 2015-001
AFP Server
Tersedia untuk: OS X Mavericks v10.9.5
Dampak: Penyerang jarak jauh mungkin dapat mengetahui semua alamat jaringan sistem
Deskripsi: Server file AFP mendukung perintah yang dapat menampilkan semua alamat jaringan server. Masalah ini diatasi dengan menghapus alamat dari hasil yang ditampilkan.
CVE-ID
CVE-2014-4426 : Craig Young dari Tripwire VERT
bash
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa kerentanan dalam bash, yang salah satunya memungkinkan penyerang lokal mengeksekusi kode arbitrer
Deskripsi: Terdapat beberapa kerentanan dalam bash. Masalah ini telah diatasi dengan memperbarui bash ke level patch 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat kesalahan signedness bilangan bulat di IOBluetoothFamily yang memungkinkan manipulasi memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Yosemite.
CVE-ID
CVE-2014-4497
Bluetooth
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat kesalahan pada driver Bluetooth yang memungkinkan app berbahaya mengontrol ukuran tulisan ke memori kernel. Masalah ini telah diatasi melalui tambahan validasi input.
CVE-ID
CVE-2014-8836 : Ian Beer dari Google Project Zero
Bluetooth
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat beberapa masalah keamanan pada driver Bluetooth sehingga memungkinkan app berbahaya mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi melalui tambahan validasi input.
CVE-ID
CVE-2014-8837 : Roberto Paleari dan Aristide Fattori dari Emaze Networks
CFNetwork Cache
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Cache situs web mungkin tidak terhapus sepenuhnya setelah penelusuran pribadi dimatikan
Deskripsi: Terdapat masalah privasi yang menyebabkan data penelusuran tersimpan di cache setelah penelusuran pribadi dimatikan. Masalah ini telah diatasi dengan mengubah perilaku penyimpanan di cache.
CVE-ID
CVE-2014-4460
CoreGraphics
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan bilangan bulat dalam penanganan file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4481 : Felipe Andres Manzano dari Binamuse VRT, melalui iSIGHT Partners GVP Program
CPU Software
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1, untuk: MacBook Pro Retina, MacBook Air (Pertengahan 2013 dan versi lebih baru), iMac (Akhir 2013 dan versi lebih baru), Mac Pro (Akhir 2013)
Dampak: Perangkat Thunderbolt yang berbahaya mungkin dapat memengaruhi flashing firmware
Dekripsi: Perangkat Thunderbolt dapat memodifikasi firmware host jika disambungkan saat pembaruan EFI. Masalah ini telah diatasi dengan tidak memuat pilihan ROM selama pembaruan.
CVE-ID
CVE-2014-4498 : Trammell Hudson dari Two Sigma Investments
CommerceKit Framework
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Penyerang dengan akses ke sistem mungkin dapat memperoleh kredensial ID Apple
Deskripsi: Terdapat masalah dalam penanganan log App Store. Proses App Store dapat mencatat kredensial ID Apple pada log saat pencatatan tambahan diaktifkan. Masalah ini telah diatasi dengan menolak pencatatan informasi pengesahan.
CVE-ID
CVE-2014-4499 : Sten Petersen
CoreGraphics
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa app pihak ketiga dengan aktivitas entri teks dan moouse yang tidak aman dapat mencatat aktivitas tersebut
Deskripsi: Akibat kombinasi dari variabel yang tidak diinisiasi dan pengalokasi khusus dari app, aktivitas entri teks dan mouse yang tidak aman mungkin tercatat. Masalah ini telah diatasi dengan memastikan pencatatan dimatikan secara default. Masalah ini tidak memengaruhi sistem sebelum OS X Yosemite.
CVE-ID
CVE-2014-1595 : Steven Michaud dari Mozilla yang bekerja sama dengan Kent Howard
CoreGraphics
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori dalam penanganan file PDF. Masalah tersebut diatasi melalui pemeriksaan batas-batas yang lebih baik. Masalah ini tidak memengaruhi sistem OS X Yosemite.
CVE-ID
CVE-2014-8816 : Mike Myers, dari Digital Operatives LLC
CoreSymbolication
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat beberapa masalah ketidakjelasan tipe saat coresymbolicationd menangani pesan XPC. Masalah ini telah diatasi melalui pemeriksaan tipe yang disempurnakan.
CVE-ID
CVE-2014-8817 : Ian Beer dari Google Project Zero
FontParser
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori dalam penanganan file .dfont. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4484 : Gaurav Baruah yang bekerja sama dengan Zero Day Initiative dari HP
FontParser
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer dalam penanganan file fon. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4483 : Apple
Foundation
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Melihat file XML perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer dalam parser XML. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4485 : Apple
Intel Graphics Driver
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa kerentanan dalam driver grafis Intel
Deskripsi: Terdapat beberapa kerentanan dalam driver grafis Intel. Kerentanan yang paling serius dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa sistem. Pembaruan ini mengatasi masalah melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2014-8819 : Ian Beer dari Google Project Zero
CVE-2014-8820 : Ian Beer dari Google Project Zero
CVE-2014-8821 : Ian Beer dari Google Project Zero
IOAcceleratorFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat dereferensi penunjuk null saat IOAcceleratorFamily menangani tipe userclient IOService tertentu. Masalah ini telah diatasi dengan peningkatan validasi konteks IOAcceleratorFamily.
CVE-ID
CVE-2014-4486 : Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat kelebihan buffer dalam IOHIDFamily. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-ID
CVE-2014-4487 : TaiG Jailbreak Team
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat masalah validasi saat IOHIDFamily menangani metadata antrean sumber daya. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.
CVE-ID
CVE-2014-4488 : Apple
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat dereferensi penunjuk null saat IOHIDFamily menangani antrean aktivitas. Masalah ini telah diatasi melalui validasi antrean aktivitas IOHIDFamily yang ditingkatkan.
CVE-ID
CVE-2014-4489 : @beist
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Eksekusi app yang berbahaya dapat menyebabkan eksekusi kode arbitrer di dalam kernel
Deskripsi: Terdapat masalah pemeriksaan batas dalam klien pengguna yang dihasilkan oleh driver IOHIDFamily. Masalah ini memungkinkan app yang berbahaya menimpa porsi arbitrer dari ruang alamat kernel. Masalah ini diatasi dengan menghapus metode klien pengguna yang rentan.
CVE-ID
CVE-2014-8822 : Vitaliy Toropov yang bekerja sama dengan Zero Day Initiative dari HP
IOKit
Tersedia untuk: OS X Yosemite v10.10 and v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat kelebihan bilangan bulat saat menangani fungsi IOKit. Masalah ini telah diatasi dengan peningkatan validasi argumen IOKit API.
CVE-ID
CVE-2014-4389 : Ian Beer dari Google Project Zero
IOUSBFamily
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: App dengan hak istimewa mungkin dapat membaca data arbitrer dari memori kernel
Deskripsi: Terdapat masalah akses memori saat menangani fungsi klien pengguna pengontrol IOUSB. Masalah ini telah diatasi dengan validasi argumen yang ditingkatkan.
CVE-ID
CVE-2014-8823 : Ian Beer dari Google Project Zero
Kerberos
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Perpustakaan libgssapi Kerberos menghasilkan token konteks dengan penunjuk yang menggantung. Masalah ini telah diatasi dengan meningkatkan manajemen status.
CVE-ID
CVE-2014-5352
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Menentukan mode cache khusus memungkinkan penulisan ke segmen memori bersama hanya-baca di kernel. Masalah ini telah diatasi dengan penolakan pemberian izin tulis sebagai efek samping dari beberapa mode cache khusus.
CVE-ID
CVE-2014-4495 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat masalah validasi dalam penanganan bidang metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.
CVE-ID
CVE-2014-8824 : @PanguTeam
Kernel
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Penyerang lokal dapat memalsukan respons layanan direktori ke kernel, meningkatkan hak istimewa, atau mengeksekusi kernel
Deskripsi: Terdapat masalah pada validasi identitysvc dalam proses penyelesaian masalah, penanganan bendera, dan penanganan kesalahan dari layanan direktori. Masalah ini telah diatasi dengan validasi yang ditingkatkan
CVE-ID
CVE-2014-8825 : Alex Radocea dari CrowdStrike
Kernel
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel
Deskripsi: Terdapat beberapa masalah memori yang tidak diinisiasi dalam antarmuka statistik jaringan sehingga menyebabkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori tambahan.
CVE-ID
CVE-2014-4371 : Fermin J. Serna dari Google Security Team
CVE-2014-4419 : Fermin J. Serna dari Google Security Team
CVE-2014-4420 : Fermin J. Serna dari Google Security Team
CVE-2014-4421 : Fermin J. Serna dari Google Security Team
Kernel
Tersedia untuk: OS X Mavericks v10.9.5
Dampak: Orang di posisi jaringan yang memiliki hak istimewa dapat mengakibatkan penolakan layanan
Deskripsi: Terdapat masalah kondisi pacu dalam penanganan paket IPv6. Masalah ini telah diatasi dengan pemeriksaan kondisi kunci yang ditingkatkan.
CVE-ID
CVE-2011-2391
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App perusak yang berbahaya atau yang disusupi mungkin dapat mengetahui alamat di kernel
Deskripsi: Terdapat masalah pengungkapan informasi dalam penanganan API terkait ekstensi kernel. Respons yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini diatasi dengan tidak menggeser alamat sebelum mengembalikannya.
CVE-ID
CVE-2014-4491 : @PanguTeam, Stefan Esser
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terdapat masalah validasi dalam penanganan bidang metadata tertentu dari objek IOSharedDataQueue. Masalah ini telah diatasi melalui relokasi metadata.
CVE-ID
CVE-2014-4461 : @PanguTeam
LaunchServices
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: File JAR yang berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Terdapat masalah dalam penanganan peluncuran app yang memungkinkan file JAR berbahaya tertentu melewati pemeriksaan Gatekeeper. Masalah ini telah diatasi melalui penanganan metadata tipe file yang ditingkatkan.
CVE-ID
CVE-2014-8826 : Hernan Ochoa dari Amplia Security
libnetcore
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App berbahaya di dalam sandbox dapat menyusupi networkd daemon
Deskripsi: Terdapat beberapa masalah ketidakjelasan tipe saat networkd menangani komunikasi antarproses. Pengiriman pesan berformat yang berbahaya ke networkd dapat menyebabkan eksekusi kode arbitrer sebagai proses networkd. Masalah ini telah diatasi melalui pemeriksaan tipe tambahan.
CVE-ID
CVE-2014-4492 : Ian Beer dari Google Project Zero
LoginWindow
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Mac mungkin tidak segera terkunci saat masuk mode bangun
Deskripsi: Terdapat masalah pada rendering layar terkunci. Masalah ini telah diatasi melalui rendering layar yang ditingkatkan saat perangkat terkunci.
CVE-ID
CVE-2014-8827 : Xavier Bertels of Mono dan beberapa penguji seed OS X
lukemftp
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Menggunakan alat ftp baris perintah untuk mengambil file dari server http berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Terdapat masalah injeksi perintah dalam penanganan pengalihan HTTP. Masalah ini telah diatasi dengan peningkatan validasi karakter khusus.
CVE-ID
CVE-2014-8517
ntpd
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Menggunakan ntp daemon dengan autentikasi kriptografi yang diaktifkan dapat mengakibatkan kebocoran informasi
Deskripsi: Terdapat beberapa masalah validasi input dalam ntpd. Masalah ini telah diatasi melalui validasi data yang ditingkatkan.
CVE-ID
CVE-2014-9297
OpenSSL
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Beberapa kerentanan dalam OpenSSL 0.9.8za, yang salah satunya memungkinkan penyerang menurunkan versi koneksi ke cipher-suite yang lebih lemah dalam app yang menggunakan perpustakaan
Deskripsi: Terdapat beberapa kerentanan dalam OpenSSL 0.9.8za. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zc.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Proses di dalam sandbox mungkin dapat menggagalkan pembatasan sandbox
Deskripsi: Terdapat masalah desain dalam penyimpanan cache profile sandbox yang menyebabkan app di dalam sandbox dapat memiliki akses tulis ke cache tersebut. Masalah ini telah diatasi dengan membatasi akses tulis ke jalur yang memiliki segment “com.apple.sandbox”. Masalah ini tidak memengaruhi OS X Yosemite v10.10 atau versi lebih baru.
CVE-ID
CVE-2014-8828 : Apple
SceneKit
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: App yang berbahaya dapat mengeksekusi kode arbitrer yang menimbulkan risiko keamanan informasi pengguna
Deskripsi: Terdapat beberapa masalah tulis di luar batas dalam SceneKit. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2014-8829 : Jose Duart dari Google Security Team
SceneKit
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Melihat file Collada perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer tumpukan saat SceneKit menangani file Collada. Melihat file Collada perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini telah diatasi melalui validasi elemen pengakses yang ditingkatkan.
CVE-ID
CVE-2014-8830: Jose Duart dari Google Security Team
Security
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App unduhan yang ditandatangani dengan sertifikat ID Pengembang yang telah dicabut dapat melewati pemeriksaan Gatekeeper
Deskripsi: Terdapat masalah pada evaluasi terhadap informasi sertifikat app yang disimpan di cache. Masalah ini telah diatasi dengan peningkatan logika cache.
CVE-ID
CVE-2014-8838 : Apple
security_taskgate
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App dapat mengakses item rantai kunci milik app lain
Deskripsi: Terdapat masalah kontrol akses dalam Rantai Kunci. App dengan sertifikat yang ditandatangani sendiri atau sertifikat ID Pengembang dapat mengakses item rantai kunci yang daftar kontrol aksesnya didasarkan pada grup rantai kunci. Masalah ini telah diatasi dengan memvalidasi identitas penanda tangan saat mengizinkan akses ke grup rantai kunci.
CVE-ID
CVE-2014-8831 : Apple
Spotlight
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Pengirim email dapat mengetahui alamat IP penerima
Deskripsi: Spotlight tidak memeriksa status pengaturan “Muat konten jarak jauh di pesan” di Mail. Masalah ini telah diatasi dengan meningkatkan pemeriksaan konfigurasi.
CVE-ID
CVE-2014-8839 : John Whitehead dari The New York Times, Frode Moe dari LastFriday.no
Spotlight
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: Spotlight dapat menyimpan informasi yang tidak terduga ke hard drive eksternal
Deskripsi: An Terdapat masalah pada Spotlight yang dapat menyebabkan konten memori ditulis ke hard drive eksternal saat pengindeksan. Masalah ini telah diatasi dengan pengelolaan memori yang lebih baik.
CVE-ID
CVE-2014-8832 : F-Secure
SpotlightIndex
Tersedia untuk: OS X Yosemite v10.10 dan v10.10.1
Dampak: Spotlight dapat menampilkan hasil untuk file yang bukan milik pengguna
Deskripsi: Terdapat masalah desterilisasi saat Spotlight menangani cache izin. Pengguna yang melakukan kueri di Spotlight mungkin akan diberikan hasil pencarian berisi file yang tidak boleh mereka baca. Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-ID
CVE-2014-8833 : David J Peacock, Konsultan Teknologi Independen
sysmond
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 dan v10.10.1
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa root
Deskripsi: Terdapat kerentanan ketidakjelasan tipe pada sysmond sehingga app lokal dapat mengeskalasi hak istimewa. Masalah ini telah diatasi dengan pemeriksaan tipe yang ditingkatkan.
CVE-ID
CVE-2014-8835 : Ian Beer dari Google Project Zero
UserAccountUpdater
Tersedia untuk: OS X Yosemite v10.10 and v10.10.1
Dampak: File preferensi terkait pencetakan dapat berisi informasi sensitif tentang dokumen PDF
Deskripsi: OS X Yosemite v10.10 telah mengatasi masalah pada penanganan file PDF yang dilindungi kata sandi dan dibuat dari dialog Cetak yang kata sandinya mungkin disertakan dalam file preferensi pencetakan. Pembaruan ini menghapus informasi asing tersebut yang mungkin telah disertakan dalam file preferensi pencetakan.
CVE-ID
CVE-2014-8834 : Apple
Catatan: OS X Yosemite 10.10.2 menyertakan konten keamanan Safari 8.0.3.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.