Mengenai konten keamanan OS X El Capitan v10.11

Dokumen ini menjelaskan mengenai konten keamanan OS X El Capitan v10.11.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

OS X El Capitan v10.11

  • Buku Alamat

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang lokal dapat memasukkan kode arbitrer ke proses yang memuat kerangka Buku Alamat

    Deskripsi: Masalah terjadi saat kerangka Buku Alamat menangani variabel lingkungan. Masalah ini telah diatasi melalui penanganan variabel lingkungan yang lebih baik.

    CVE-ID

    CVE-2015-5897 : Dan Bastone dari Gotham Digital Science

  • AirScan

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengekstrak muatan dari paket eSCL yang dikirim melalui koneksi aman

    Deskripsi: Terjadi masalah saat memproses paket eSCL. Masalah ini telah diatasi melalui pemeriksaan validasi yang lebih baik.

    CVE-ID

    CVE-2015-5853 : peneliti anonim

  • apache_mod_php

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di PHP

    Deskripsi: Beberapa kerentanan terjadi di versi PHP sebelum 5.5.27, termasuk kerentanan yang telah mengakibatkan eksekusi kode jarak jauh. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.27.

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Kit Apple Online Store

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat memperoleh akses ke item rantai kunci milik pengguna

    Deskripsi: Masalah terjadi saat memvalidasi daftar kontrol akses untuk item rantai kunci iCloud. Masalah ini telah diatasi melalui pemeriksaan daftar kontrol akses yang lebih baik.

    CVE-ID

    CVE-2015-5836 : XiaoFeng Wang dari Indiana University, Luyi Xing dari Indiana University, Tongxin Li dari Peking University, Tongxin Li dari Peking University, Xiaolong Bai dari Tsinghua University

  • AppleEvents

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna yang terhubung melalui berbagi layar dapat mengirim Acara Apple ke sesi pengguna lokal

    Deskripsi: Masalah terjadi pada pemfilteran Acara Apple yang memungkinkan beberapa pengguna mengirim acara ke pengguna lain. Masalah ini telah diatasi melalui penanganan Acara Apple yang lebih baik.

    CVE-ID

    CVE-2015-5849 : Jack Lawrence (@_jackhl)

  • Audio

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba

    Deskripsi: Masalah kerusakan memori terjadi saat menangani file audio. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5862 : YoungJin Yoon dari Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • bash

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di bash

    Deskripsi: Beberapa kerentanan terjadi di versi bash sebelum 3.2 level patch 57. Masalah ini telah diatasi dengan memperbarui bash versi 3.2 ke level patch 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pembaruan kebijakan kepercayaan sertifikat

    Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di https://support.apple.com/id-id/HT202858.

  • Cookie CFNetwork

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat melacak aktivitas pengguna

    Deskripsi: Masalah cookie lintas domain terjadi saat menangani domain tingkat atas. Masalah ini telah diatasi melalui pembatasan pembuatan cookie yang lebih baik.

    CVE-ID

    CVE-2015-5885 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University

  • CFNetwork FTPProtocol

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Server FTP yang berbahaya dapat menyebabkan klien melakukan pengintaian pada host lainnya

    Deskripsi: Masalah terjadi saat menangani paket FTP menggunakan perintah PASV. Masalah ini telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2015-5912 : Amit Klein

  • CFNetwork HTTPProtocol

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: URL perusak yang berbahaya dapat melewati HSTS dan membocorkan data sensitif

    Deskripsi: Kerentanan penguraian URL terjadi saat menangani HSTS. Masalah ini telah diatasi melalui penguraian URL yang lebih baik.

    CVE-ID

    CVE-2015-5858 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University

  • CFNetwork HTTPProtocol

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas lalu lintas jaringan

    Deskripsi: Masalah terjadi saat menangani entri daftar pramuat HSTS dalam mode penelusuran pribadi Safari. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.

    CVE-ID

    CVE-2015-5859 : Rosario Giustolisi dari University of Luxembourg

  • CFNetwork HTTPProtocol

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Situs web yang berbahaya dapat melacak pengguna dalam mode penelusuran pribadi Safari

    Deskripsi: Masalah terjadi saat menangani status HSTS dalam mode penelusuran pribadi Safari. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.

    CVE-ID

    CVE-2015-5860 : Sam Greenhalgh dari RadicalResearch Ltd

  • Proxy CFNetwork

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Terhubung ke proxy web berbahaya dapat menghasilkan cookie yang berbahaya untuk situs web

    Deskripsi: Masalah terjadi saat menangani respons sambungan proxy. Masalah ini telah diatasi dengan menghapus header set-cookie saat menguraikan respons sambungan.

    CVE-ID

    CVE-2015-5841 : Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS

    Deskripsi: Masalah validasi sertifikat terjadi di NSURL saat sertifikat diubah. Masalah ini telah diatasi melalui validasi sertifikat yang lebih baik.

    CVE-ID

    CVE-2015-5824 : Timothy J. Wood dari The Omni Group

  • CFNetwork SSL

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terjadi serangan yang diketahui terhadap kerahasiaan RC4. Penyerang dapat memaksa penggunaan RC4, bahkan jika server cenderung memilih cipher yang lebih baik, dengan memblokir TLS 1.0 dan koneksi yang lebih tinggi sampai CFNetwork mencoba SSL 3.0, yang hanya mengizinkan RC4. Masalah ini telah diatasi dengan menghapus pengembalian ke SSL 3.0.

  • CoreCrypto

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dapat menentukan kunci pribadi

    Deskripsi: Dengan mengamati banyak upaya penandatanganan atau dekripsi, penyerang dapat menentukan kunci pribadi RSA. Masalah ini telah diatasi dengan menggunakan algoritma enkripsi yang lebih baik.

  • CoreText

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi saat memproses file font. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori terjadi di dyld. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5876 : beist dari grayhash

  • Dev Tools

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi mungkin dapat memintas penandatanganan kode

    Deskripsi: Masalah terjadi pada validasi tanda tangan kode dari file yang dapat dijalankan. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

    CVE-ID

    CVE-2015-5839 : @PanguTeam

  • Gambar Disk

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori terjadi di DiskImages. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi mungkin dapat memintas penandatanganan kode

    Deskripsi: Masalah terjadi pada validasi tanda tangan kode dari file yang dapat dijalankan. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

    CVE-ID

    CVE-2015-5839 : TaiG Jailbreak Team

  • EFI

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat mencegah beberapa sistem melakukan boot

    Deskripsi: Masalah terjadi pada alamat yang dicakup oleh pendaftaran rentang yang dilindungi. Masalah ini telah diperbaiki dengan mengubah rentang yang dilindungi.

    CVE-ID

    CVE-2015-5900 : Xeno Kovah & Corey Kallenberg dari LegbaCore

  • EFI

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Adapter Apple Ethernet Thunderbolt yang berbahaya dapat memengaruhi flashing firmware

    Deskripsi: Adapter Apple Ethernet Thunderbolt dapat mengubah firmware host jika terhubung selama pembaruan EFI. Masalah ini telah diatasi dengan tidak memuat pilihan ROM selama pembaruan.

    CVE-ID

    CVE-2015-5914 : Trammell Hudson dari Two Sigma Investments and snare

  • Finder

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Fitur "Kosongkan Tong Sampah dengan Aman" tidak menghapus file yang ada di Tong Sampah dengan aman

    Deskripsi: Masalah terjadi saat menjamin keamanan penghapusan file Tong Sampah di beberapa sistem, seperti sistem dengan penyimpanan flash. Masalah ini telah diatasi dengan menghapus pilihan "Kosongkan Tong Sampah dengan Aman".

    CVE-ID

    CVE-2015-5901 : Apple

  • Game Center

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi Game Center yang berbahaya dapat mengakses alamat email pemain

    Deskripsi: Masalah terjadi di Game Center saat menangani email pemain. Masalah ini telah diatasi melalui pembatasan akses yang lebih baik.

    CVE-ID

    CVE-2015-5855 : Nasser Alnasser

  • Heimdal

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dapat memutar ulang kredensial Kerberos ke server SMB

    Deskripsi: Masalah autentikasi terjadi pada kredensial Kerberos. Masalah ini telah diatasi melalui validasi kredensial tambahan menggunakan daftar kredensial yang baru dilihat.

    CVE-ID

    CVE-2015-5913 : Tarun Chopra dari Microsoft Corporation, U.S. dan Yu Fan dari Microsoft Corporation, China

  • ICU

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di ICU

    Deskripsi: Beberapa kerentanan muncul di versi ICU sebelum 53.1.0. Masalah ini telah diatasi dengan memperbarui ICU ke versi 55.1.

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand dari Google Project Zero

  • Install Framework Legacy

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

    Deskripsi: Masalah pembatasan terjadi pada kerangka pribadi Instal yang berisi hak istimewa yang dapat dijalankan. Masalah ini telah diatasi dengan menghapus file yang dapat dijalankan.

    CVE-ID

    CVE-2015-5888 : Apple

  • Driver Intel Graphics

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah kerusakan memori terjadi di Intel Graphics Driver. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5830 : Yuki MIZUNO (@mzyy94)

    CVE-2015-5877 : Camillus Gerard Cai

  • IOAudioFamily

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

    Deskripsi: Masalah terjadi di IOAudioFamily yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi dengan mengubah urutan penunjuk kernel.

    CVE-ID

    CVE-2015-5864 : Luca Todesco

  • IOGraphics

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori terjadi di kernel. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5871 : Ilja van Sprundel dari IOActive

    CVE-2015-5872 : Ilja van Sprundel dari IOActive

    CVE-2015-5873 : Ilja van Sprundel dari IOActive

    CVE-2015-5890 : Ilja van Sprundel dari IOActive

  • IOGraphics

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Masalah terjadi di IOGraphics yang dapat mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang lebih baik.

    CVE-ID

    CVE-2015-5865 : Luca Todesco

  • IOHIDFamily

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah kerusakan memori terjadi di IOHIDFamily. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5866 : Apple

    CVE-2015-5867 : moony li dari Trend Micro

  • IOStorageFamily

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang lokal dapat membaca memori kernel

    Deskripsi: Masalah inisialisasi memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5863 : Ilja van Sprundel dari IOActive

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori terjadi di Kernel. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5868 : Cererdlong dari Alibaba Mobile Security Team

    CVE-2015-5896 : Maxime Villard dari m00nbsd

    CVE-2015-5903 : CESG

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Proses lokal dapat memodifikasi proses lainnya tanpa pemeriksaan hak yang sah

    Deskripsi: Masalah terjadi saat proses dasar yang menggunakan API processor_set_tasks diizinkan untuk mengambil port tugas dari proses lainnya. Masalah ini telah diatasi dengan pemeriksaan hak tambahan.

    CVE-ID

    CVE-2015-5882 : Pedro Vilaça, yang bekerja berdasarkan riset asli oleh Ming-chieh Pan dan Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang lokal dapat mengontrol nilai cookie tumpukan

    Deskripsi: Beberapa kerentanan muncul di pembuatan cookie tumpukan ruang pengguna. Masalah ini telah diatasi melalui pembuatan cookie tumpukan yang lebih baik.

    CVE-ID

    CVE-2013-3951 : Stefan Esser

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dapat melancarkan serangan penolakan layanan pada koneksi TCP yang ditargetkan tanpa mengetahui nomor urutan yang benar

    Deskripsi: Masalah muncul di validasi xnu pada header paket TCP. Masalah ini telah diatasi melalui validasi header paket TCP yang lebih baik.

    CVE-ID

    CVE-2015-5879 : Jonathan Looney

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang di segmen LAN lokal dapat menonaktifkan perutean IPv6

    Deskripsi: Masalah validasi yang tidak cukup terjadi saat menangani iklan router IPv6 yang memungkinkan penyerang mengatur batas hop terhadap nilai arbitrer. Masalah ini telah diatasi dengan menerapkan batas hop minimum.

    CVE-ID

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

    Deskripsi: Terjadi masalah yang mengakibatkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui inisialisasi struktur memori kernel yang lebih baik.

    CVE-ID

    CVE-2015-5842 : beist dari grayhash

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

    Deskripsi: Masalah terjadi pada antarmuka debug yang mengakibatkan pengungkapan konten memori. Masalah ini telah diatasi dengan membersihkan output dari antarmuka debug.

    CVE-ID

    CVE-2015-5870 : Apple

  • Kernel

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

    Deskripsi: Masalah pengelolaan status muncul di fungsionalitas debug. Masalah ini telah diatasi dengan validasi yang ditingkatkan

    CVE-ID

    CVE-2015-5902 : Sergi Alvarez (pancake) dari Tim NowSecure Research

  • libc

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer.

    Deskripsi: Masalah kerusakan memori terjadi di fungsi fflush. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2014-8611 : Adrian Chadd dan Alfred Perlstein dari Norse Corporation

  • libpthread

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5899 : Lufeng Li dari Qihoo 360 Vulcan Team

  • libxpc

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa koneksi SSH dapat menyebabkan penolakan layanan

    Deskripsi: launchd tidak memiliki batas pada jumlah proses yang dapat dimulai dengan koneksi jaringan. Masalah ini telah diatasi dengan membatasi jumlah proses SSH menjadi 40.

    CVE-ID

    CVE-2015-5881 : Apple

  • Jendela Masuk

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Kunci layar mungkin tidak akan dimulai setelah periode waktu tertentu

    Deskripsi: Masalah muncul pada penguncian layar yang diambil. Masalah ini telah diatasi melalui penanganan penguncian yang lebih baik.

    CVE-ID

    CVE-2015-5833 : Carlos Moreira, Rainer Dorau dari rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera, dan Jon Hall dari Asynchrony

  • lukemftpd

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang jarak jauh dapat menolak layanan ke server FTP

    Deskripsi: Masalah pemrosesan glob muncul di tnftpd. Masalah ini telah diatasi dengan peningkatan validasi glob.

    CVE-ID

    CVE-2015-5917 : Maksymilian Arciemowicz dari cxsecurity.com

  • Mail

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Mencetak email dapat membocorkan informasi rahasia pengguna

    Deskripsi: Masalah terjadi di Mail yang memintas preferensi pengguna saat mencetak email. Masalah ini telah diatasi melalui penerapan preferensi pengguna yang lebih baik.

    CVE-ID

    CVE-2015-5881 : Owen DeLong dari Akamai Technologies, Noritaka Kamiya, Dennis Klein from Eschenburg, Germany, Jeff Hammett dari Systim Technology Partners

  • Mail

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu pelampiran email yang dienkripsi S/MIME yang dikirim melalui Mail Drop

    Deskripsi: Masalah terjadi saat menangani parameter enkripsi untuk lampiran email besar yang dikirim melalui Mail Drop. Masalah ini telah diatasi dengan tidak lagi menawarkan Mail Drop saat mengirim e-mail terenkripsi.

    CVE-ID

    CVE-2015-5884 : John McCombs dari Integrated Mapping Ltd

  • Konektivitas Multipasangan

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang lokal dapat mengamati data multipasangan yang tidak dilindungi

    Deskripsi: Masalah terjadi saat menangani penginisialisasi yang praktis ketika enkripsi dapat diturunkan secara aktif ke sesi non enkripsi. Masalah ini telah diatasi dengan mengubah penginisialisasi yang praktis agar membutuhkan enkripsi.

    CVE-ID

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3) dari Data Theorem

  • NetworkExtension

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Masalah memori yang tidak diinisialisasi di kernel mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui inisialisasi memori yang lebih baik.

    CVE-ID

    CVE-2015-5831 : Maxime Villard dari m00nbsd

  • Catatan

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

    Deskripsi: Masalah terjadi saat menguraikan tautan di aplikasi Catatan. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2015-5878 : Craig Young dari Tripwire VERT, seorang peneliti anonim

  • Catatan

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

    Deskripsi: Masalah skripting lintas situs terjadi saat menguraikan teks oleh aplikasi Catatan. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2015-5875 : xisigr dari Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di OpenSSH

    Deskripsi: Beberapa kerentanan muncul di versi OpenSSH sebelum 6.9. Masalah ini telah diatasi dengan memperbarui OpenSSH ke versi 6.9.

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di OpenSSL

    Deskripsi: Masalah kerentanan muncul di OpenSSL versi sebelum 0.9.8zg. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di procmail

    Deskripsi: Beberapa kerentanan muncul di versi procmail sebelum 3.22. Masalah ini telah diatasi dengan menghapus procmail.

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

    Deskripsi: Masalah terjadi saat menggunakan variabel lingkungan oleh biner rsh. Masalah ini telah diatasi dengan melepaskan hak istimewa setuid dari biner rsh.

    CVE-ID

    CVE-2015-5889 : Philip Pettersson

  • removefile

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Memproses data yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba

    Deskripsi: Kesalahan kelebihan muncul di rutin divisi checkint. Masalah ini telah diatasi dengan rutin divisi yang lebih baik.

    CVE-ID

    CVE-2015-5840 : peneliti anonim

  • Ruby

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di Ruby

    Deskripsi: Masalah kerentanan muncul di versi Ruby sebelum 2.0.0p645. Masalah ini telah diatasi dengan memperbarui Ruby ke versi 2.0.0-P645.

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Security

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Status terkunci dari rantai kunci mungkin salah ditampilkan kepada pengguna

    Deskripsi: Masalah pengelolaan status terjadi pada cara status terkunci rantai kunci dilacak. Masalah ini telah diatasi melalui pengelolaan kondisi yang lebih baik.

    CVE-ID

    CVE-2015-5915 : Peter Walz dari University of Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Security

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Evaluasi kepercayaan yang dikonfigurasi agar memerlukan pemeriksaan pencabutan dapat berhasil bahkan jika pemeriksaan pencabutan gagal

    Penjelasan: Bendera kSecRevocationRequirePositiveResponse telah ditetapkan tetapi tidak diterapkan. Masalah ini telah diatasi dengan menerapkan bendera.

    CVE-ID

    CVE-2015-5894 : Hannes Oud dari kWallet GmbH

  • Security

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Server jarak jauh dapat meminta sertifikat sebelum mengidentifikasi server itu sendiri

    Deskripsi: Transpor Aman menerima pesan CertificateRequest sebelum pesan ServerKeyExchange. Masalah ini telah diatasi dengan mengharuskan SeverKeyExchange terlebih dahulu.

    CVE-ID

    CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, dan Jean Karim Zinzindohoue dari INRIA Paris-Rocquencourt, dan Cedric Fournet dan Markulf Kohlweiss dari Microsoft Research, Pierre-Yves Strub dari IMDEA Software Institute

  • SMB

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5891 : Ilja van Sprundel dari IOActive

  • SMB

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

    Deskripsi: Masalah muncul di SMBClient yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

    CVE-ID

    CVE-2015-5893 : Ilja van Sprundel dari IOActive

  • SQLite

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Beberapa kerentanan di SQLite v3.8.5

    Deskripsi: Beberapa kerentanan muncul di SQLite v3.8.5. Masalah ini telah diatasi dengan memperbarui SQLite ke versi 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telephony

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang lokal dapat melakukan panggilan telepon tanpa sepengetahuan pengguna saat menggunakan Kontinuitas

    Deskripsi: Masalah terjadi saat pemeriksaan pengesahan untuk melakukan panggilan telepon. Masalah ini telah diatasi melalui pemeriksaan otorisasi yang lebih baik.

    CVE-ID

    CVE-2015-3785 : Dan Bastone dari Gotham Digital Science

  • Terminal

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Teks perusak yang berbahaya dapat menyesatkan pengguna di Terminal

    Deskripsi: Terminal tidak menangani karakter penimpaan dua arah dengan cara yang sama saat menampilkan teks dan saat memilih teks. Masalah ini telah diatasi dengan menekan karakter penimpaan dua arah di Terminal.

    CVE-ID

    CVE-2015-5883 : Lukas Schauer (@lukas2511)

  • tidy

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori terjadi di tidy. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5522 : Fernando Muñoz dari NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz dari NULLGroup.com

  • Time Machine

    Tersedia untuk: Mac OS X v10.6.8 dan versi lebih baru

    Dampak: Penyerang lokal dapat memperoleh akses ke item rantai kunci

    Deskripsi: Masalah terjadi di cadangan oleh kerangka Time Machine Masalah ini telah diatasi melalui cakupan cadangan Time Machine yang lebih baik.

    CVE-ID

    CVE-2015-5854 : Jonas Magazinius dari Assured AB

Catatan: OS X El Capitan v10.11 mencakup konten keamanan dari Safari 9.

 

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: