Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.
OS X Yosemite v10.10.3 dan Pembaruan Keamanan 2015-004
Kerangka Kerja Admin
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Suatu proses dapat memperoleh hak istimewa admin tanpa pengesahan yang benar
Deskripsi: Masalah terjadi saat memeriksa pemberian hak XPC. Masalah ini telah diatasi dengan peningkatan pemeriksaan pemberian hak.
CVE-ID
CVE-2015-1130 : Emil Kvarnhammar di TrueSec
- apache
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Beberapa kerentanan dalam Apache
Deskripsi: Beberapa kerentanan muncul dalam versi Apache sebelum 2.4.10 dan 2.2.29, termasuk yang bisa memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer. Masalah-masalah ini telah diatasi dengan memperbarui Apache ke versi 2.4.10 dan 2.2.29
CVE-ID
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah validasi input terjadi di fontd. Masalah ini telah diatasi melalui peningkatan validasi input.
CVE-ID
CVE-2015-1131 : Ian Beer dari Google Project Zero
CVE-2015-1132 : Ian Beer dari Google Project Zero
CVE-2015-1133 : Ian Beer dari Google Project Zero
CVE-2015-1134 : Ian Beer dari Google Project Zero
CVE-2015-1135 : Ian Beer dari Google Project Zero
Kebijakan Kepercayaan Sertifikat
Dampak: Pembaruan kebijakan kepercayaan sertifikat
Deskripsi: Kebijakan kepercayaan sertifikat sudah diperbarui. Lihat daftar lengkap sertifikat.
CFNetwork HTTPProtocol
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Cookie milik suatu sumber dapat dikirim ke sumber lainnya
Deskripsi: Masalah cookie lintas domain terjadi saat menangani pengalihan. Cookie yang diatur dalam respons pengalihan dapat diteruskan ke target pengalihan milik sumber lain. Masalah ini telah diatasi melalui peningkatan penanganan pengalihan.
CVE-ID
CVE-2015-1089 : Niklas Keller (http://kelunik.com)
Sesi CFNetwork
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Informasi pengesahan mungkin dikirim ke server pada sumber lain
Deskripsi: Masalah header permintaan HTTP lintas domain terjadi saat menangani pengalihan. Header permintaan HTTP yang dikirim dalam respons pengalihan dapat diteruskan ke sumber lainnya. Masalah ini telah diatasi melalui peningkatan penanganan pengalihan.
CVE-ID
CVE-2015-1091 : Diego Torres (http://dtorres.me)
CFURL
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah validasi input muncul dalam pemrosesan URL. Masalah ini telah diatasi melalui peningkatan validasi URL.
CVE-ID
CVE-2015-1088 : Luigi Galli
CoreAnimation
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan terjadi di CoreAnimation. Masalah ini telah diatasi melalui peningkatan pengelolaan mutex.
CVE-ID
CVE-2015-1136 : Apple
FontParser
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori terjadi saat pemrosesan file fon. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-1093 : Marc Schoenefeld
Driver Grafis
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk NULL terjadi di driver grafis NVIDIA saat menangani jenis klien pengguna IOService tertentu. Masalah ini telah diatasi melalui peningkatan validasi konteks.
CVE-ID
CVE-2015-1137 : Frank Graziano dan John Villamil dari Tim Yahoo Pentest
Hypervisor
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Aplikasi lokal mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah validasi input terjadi di kerangka kerja hypervisor. Masalah ini telah diatasi melalui peningkatan validasi input.
CVE-ID
CVE-2015-1138 : Izik Eidus dan Alex Fishman
ImageIO
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Memproses file .sgi perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat menangani file .sgi. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-1139 : Apple
IOHIDFamily
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Perangkat HID Jahat mungkin dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah korupsi memori muncul di IOHIDFamily API. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-1095 : Andrew Church
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan aliran buffer terjadi di IOHIDFamily. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-1140 : lokihardt@ASRT bekerja sama dengan HP's Zero Day Initiative, Luca Todesco, Vitaliy Toropov bekerja sama dengan HP's Zero Day Initiative (ZDI)
IOHIDFamily
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah muncul di IOHIDFamily yang mengarah pada terbukanya konten memori kernel. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-1096 : Ilja van Sprundel dari IOActive
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Tumpukan kelebihan buffer muncul di IOHIDFamily saat menangani properti pemetaan kunci. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-4404 : Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Dereferensi penunjuk null muncul di IOHIDFamily saat menangani properti pemetaan kunci. Masalah ini telah diatasi melalui validasi properti pemetaan kunci IOHIDFamily yang lebih baik.
CVE-ID
CVE-2014-4405 : Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Dampak: Pengguna mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah penulisan di luar batas terjadi di driver IOHIDFamily. Masalah ini telah diatasi melalui peningkatan validasi input.
CVE-ID
CVE-2014-4380 : cunzhang dari Adlab di Venustech
Kernel
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat menyebabkan sistem berhenti tiba-tiba
Deskripsi: Masalah muncul saat menangani operasi memori virtual di dalam kernel. Masalah ini telah diperbaiki melalui peningkatan penanganan operasi mach_vm_read.
CVE-ID
CVE-2015-1141 : Ole Andre Vadla Ravnas dari www.frida.re
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat menyebabkan penolakan sistem layanan
Deskripsi: Suatu kondisi yang jarang terjadi muncul di panggilan sistem setreuid di kernel Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.
CVE-ID
CVE-2015-1099 : Mark Mentovai dari Google Inc.
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Aplikasi lokal dapat mengajukan hak istimewa menggunakan layanan yang diretas agar dapat berjalan dengan hak istimewa yang dikurangi
Deskripsi: panggilan sistem setreuid dan setregid gagal untuk menurunkan hak istimewa secara permanen. Masalah ini diatasi dengan penurunan hak istimewa secara benar.
CVE-ID
CVE-2015-1117 : Mark Mentovai dari Google Inc.
Kernel
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Penyerang dengan posisi jaringan ber-hak istimewa mungkin dapat mengarahkan lalu lintas pengguna ke host mana saja
Deskripsi: Pengalihan ICMP diaktifkan secara default di OS X. Masalah ini diatasi dengan menonaktifkan pengalihan ICMP.
CVE-ID
CVE-2015-1103 : Zimperium Mobile Security Labs
Kernel
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan suatu layanan
Deskripsi: Adanya kondisi tidak konsisten dalam pemrosesan header TCP. Masalah ini telah diatasi melalui peningkatan penanganan kondisi.
CVE-ID
CVE-2015-1102 : Andrey Khudyakov dan Maxim Zhuravlev dari Kaspersky Lab
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat menyebabkan sistem berhenti tiba-tiba atau membaca memori kernel
Deskripsi: Masalah akses memori di luar batas muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-1100 : Maxime Villard dari m00nbsd
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Penyerang dari jauh mungkin dapat melewati filter jaringan.
Deskripsi: Sistem akan menganggap beberapa paket IPv6 dari antarmuka jaringan jauh sebagai paket lokal. Masalah ini diatasi dengan menolak paket-paket tersebut.
CVE-ID
CVE-2015-1104 : Stephen Roettger dari Tim Keamanan Google
Kernel
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah korupsi memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-1101 : lokihardt@ASRT bekerja sama dengan Zero Day Initiative dari HP
Kernel
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Masalah kondisi yang tidak konsisten muncul dalam penanganan TCP keluar pita data. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.
CVE-ID
CVE-2015-1105 : Kenton Varda dari Sandstorm.io
LaunchServices
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat menyebabkan Finder berhenti tiba-tiba
Deskripsi: Masalah validasi input terjadi di LaunchServices saat menangani data pelokalan aplikasi. Masalah ini telah diatasi melalui peningkatan validasi data lokalisasi.
CVE-ID
CVE-2015-1142
LaunchServices
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah ketidakjelasan jenis terjadi di LaunchServices saat menangani string yang dilokalkan. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.
CVE-ID
CVE-2015-1143 : Apple
libnetcore
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pemrosesan profil konfigurasi yang dibuat untuk kejahatan dapat mengarah ke pemberhentian aplikasi secara tidak terduga
Deskripsi: Masalah kerusakan memori muncul saat menangani profil konfigurasi. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-1118 : Zhaofeng Chen, Hui Xue, Yulong Zhang, dan Tao Wei dari FireEye, Inc.
ntp
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Penyerang jarak jauh dapat memaksa dengan kasar kunci pengesahan ntpd
Deskripsi: Fungsi config_auth di ntpd membuat kunci yang lemah bila kunci pengesahan tidak dikonfigurasi. Masalah ini diatasi dengan peningkatan pembuatan kunci.
CVE-ID
CVE-2014-9298
OpenLDAP
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Klien jarak jauh yang tidak disahkan mungkin dapat menyebabkan penolakan layanan
Deskripsi: Beberapa masalah validasi input terjadi di OpenLDAP. Masalah ini telah diatasi dengan peningkatan validasi input.
CVE-ID
CVE-2015-1545 : Ryan Tandy
CVE-2015-1546 : Ryan Tandy
OpenSSL
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Beberapa kerentanan di OpenSSL
Deskripsi: Beberapa kerentanan terjadi di OpenSSL 0.9.8zc, termasuk kerentanan yang memungkinkan penyerang mengganggu sambungan ke server yang mendukung kode kualitas ekspor. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zd.
CVE-ID
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Klien Open Directory
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Kata sandi yang tidak dienkripsi mungkin dikirim melalui jaringan ketika menggunakan Open Directory dari OS X Server
Deskripsi: Jika klien Open Directory terikat dengan OS X Server tetapi belum menginstal sertifikat OS X Server, lalu pengguna pada klien tersebut mengubah kata sandinya, permintaan perubahan kata sandi dikirim melalui jaringan tanpa enkripsi. Masalah ini telah diatasi dengan membuat klien mengharuskan enkripsi untuk masalah ini.
CVE-ID
CVE-2015-1147 : Apple
PHP
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Beberapa kerentanan di PHP
Deskripsi: Beberapa kerentanan terjadi di versi PHP sebelum 5.3.29, 5.4.38, dan 5.5.20, termasuk kerentanan yang telah mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan memperbarui PHP ke versi 5.3.29, 5.4.38, dan 5.5.20.
CVE-ID
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Membuka file iWork perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat menangani file iWork. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-1098 : Christopher Hickstein
SceneKit
Tersedia untuk: OS X Mountain Lion v10.8.5
Dampak: Menampilkan file Collada perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan tumpukan buffer terjadi di SceneKit saat menangani file Collada. Menampilkan file Collada perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Masalah ini telah diatasi melalui peningkatan validasi elemen pengakses.
CVE-ID
CVE-2014-8830 : Jose Duart dari Tim Keamanan Google
Berbagi Layar
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Kata sandi pengguna mungkin dicatat ke file lokal
Deskripsi: Dalam beberapa situasi, Berbagi Layar dapat mencatat kata sandi pengguna yang tidak dapat dibaca oleh pengguna lain di sistem. Masalah ini telah diatasi dengan menghapus pencatatan informasi pengesahan.
CVE-ID
CVE-2015-1148 : Apple
Keamanan - Penandaan Kode
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Aplikasi yang dimodifikasi dapat tetap dirilis
Deskripsi: Aplikasi yang berisi bundel perusak khusus mungkin dapat dibuka tanpa tanda tangan yang benar-benar sah. Masalah ini diatasi dengan menambahkan pemeriksaan tambahan.
CVE-ID
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.2
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan buffer terjadi dalam cara Uniform Type Identifier ditangani. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2015-1144 : Apple
WebKit
Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.2
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi di WebKit. Masalah ini telah diatasi melalui peningkatan penanganan memori.
CVE-ID
CVE-2015-1069 : lokihardt@ASRT bekerja sama dengan Zero Day Initiative dari HP
Pembaruan Keamanan 2015-004 (tersedia untuk OS X Mountain Lion v10.8.5 dan OS X Mavericks v10.9.5) juga mengatasi masalah yang disebabkan oleh perbaikan CVE-2015-1067 dalam Pembaruan Keamanan 2015-002. Masalah ini mencegah klien Acara Apple Jarak Jauh pada versi apa pun menyambung ke server Acara Apple Jarak Jauh. Dalam konfigurasi default, Acara Apple Jarak Jauh tidak diaktifkan.
OS X Yosemite 10.10.3 menyertakan konten keamanan Safari 8.0.5.