Tentang konten keamanan OS X El Capitan 10.11.2, Pembaruan Keamanan 2015-005 Yosemite, dan Pembaruan Keamanan 2015-008 Mavericks

Dokumen ini menjelaskan tentang konten keamanan OS X El Capitan 10.11.2, Pembaruan Keamanan 2015-005 Yosemite, dan Pembaruan Keamanan 2015-008 Mavericks.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

OS X El Capitan 10.11.2, Pembaruan Keamanan 2015-005 Yosemite, dan Pembaruan Keamanan 2015-008 Mavericks

  • apache_mod_php

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Beberapa kerentanan di PHP

    Deskripsi: Beberapa kerentanan terjadi di versi PHP sebelum 5.5.29, termasuk kerentanan yang telah mengakibatkan eksekusi kode jarak jauh. Masalah-masalah ini diatasi dengan memperbarui PHP ke versi 5.5.30.

    CVE-ID

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi berbahaya dapat mempertahankan akses ke Kontak setelah aksesnya dibatalkan

    Deskripsi: Masalah muncul saat menangani tautan keras sandbox. Masalah ini telah diatasi dengan penguatan app sandbox yang lebih baik.

    CVE-ID

    CVE-2015-7001 : Razvan Deaconescu dan Mihai Bucicoiu dari University POLITEHNICA of Bucharest; Luke Deshotels dan William Enck dari North Carolina State University; Lucas Vincenzo Davi dan Ahmad-Reza Sadeghi dari TU Darmstadt

  • Bluetooth

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Masalah kerusakan memori muncul di antarmuka HCI Bluetooth. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7108 : Ian Beer dari Google Project Zero

  • CFNetwork HTTPProtocol

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat memintas HSTS

    Deskripsi: Masalah validasi input muncul saat memproses URL. Masalah ini telah diatasi melalui validasi URL yang lebih baik.

    CVE-ID

    CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) dari Gehirn Inc. dan Muneaki Nishimura (nishimunea)

  • Kompresi

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah akses memori yang tidak diinisialisasi muncul di zlib. Masalah ini telah diatasi melalui peningkatan inisialisasi memori dan validasi tambahan stream zlib.

    CVE-ID

    CVE-2015-7054 : j00ru

  • Profil Konfigurasi

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Penyerang lokal mungkin dapat menginstal profil konfigurasi tanpa hak istimewa admin

    Deskripsi: Muncul masalah saat menginstal profil konfigurasi. Masalah ini telah diatasi melalui peningkatan pemeriksaan otorisasi.

    CVE-ID

    CVE-2015-7062 : David Mulder dari Dell Software

  • CoreGraphics

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat memproses file font. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2015-7105 : John Villamil (@day6reak), Tim Yahoo Pentest

  • Pemutaran CoreMedia

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat memproses file media yang berubah bentuk. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7074 : Apple

    CVE-2015-7075

  • Image Disk

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori terjadi saat menguraikan image disk. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7110 : Ian Beer dari Google Project Zero

  • EFI

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi jalur muncul di loader kernel. Masalah ini telah diatasi melalui pembersihan lingkungan yang lebih baik.

    CVE-ID

    CVE-2015-7063 : Apple

  • Penanda File

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

    Deskripsi: Masalah validasi jalur muncul di penanda dalam cakupan app. Masalah ini telah diatasi melalui pembersihan lingkungan yang lebih baik.

    CVE-ID

    CVE-2015-7071 : Apple

  • Hypervisor

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Penggunaan setelah kebebasan penggunaan muncul dalam penanganan objek VM. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-7078 : Ian Beer dari Google Project Zero

  • iBooks

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Menguraikan file iBooks perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

    Deskripsi: Masalah referensi entitas eksternal XML muncul dengan menguraikan iBooks. Masalah ini telah diatasi melalui penguraian yang ditingkatkan.

    CVE-ID

    CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) dan Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul di ImageIO. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7053 : Apple

  • Driver Intel Graphics

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah dereferensi alamat penunjuk null ditangani melalui validasi input.

    CVE-ID

    CVE-2015-7076 : Juwei Lin dari TrendMicro, beist dan ABH dari BoB, dan JeongHoon Shin@A.D.D

  • Driver Intel Graphics

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul di Driver Intel Graphics. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7106 : Ian Beer dari Google Project Zero, Juwei Lin dari TrendMicro, beist dan ABH dari BoB, dan JeongHoon Shin@A.D.D

  • Driver Intel Graphics

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah akses memori di luar batas terjadi di Driver Intel Graphics. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7077 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Masalah kerusakan memori muncul di IOAcceleratorFamily. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7109 : Juwei Lin dari TrendMicro

  • IOHIDFamily

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah kerusakan memori terjadi di API IOHIDFamily. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7111 : beist dan ABH dari BoB

    CVE-2015-7112 : Ian Beer dari Google Project Zero

  • IOKit SCSI

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Dereferensi penunjuk null muncul saat menangani tipe userclient tertentu. Masalah ini telah diatasi dengan peningkatan validasi.

    CVE-ID

    CVE-2015-7068 : Ian Beer dari Google Project Zero

  • IOThunderboltFamily

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

    Deskripsi: Dereferensi penunjuk null terjadi di IOThunderboltFamily saat menangani jenis klien pengguna khusus. Masalah ini telah diatasi dengan peningkatan validasi konteks IOThunderboltFamily.

    CVE-ID

    CVE-2015-7067 : Juwei Lin dari TrendMicro

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi lokal dapat menyebabkan penolakan layanan

    Deskripsi: Beberapa masalah penolakan layanan telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7040 : Lufeng Li dari Qihoo 360 Vulcan Team

    CVE-2015-7041 : Lufeng Li dari Qihoo 360 Vulcan Team

    CVE-2015-7042 : Lufeng Li dari Qihoo 360 Vulcan Team

    CVE-2015-7043 : Tarjei Mandt (@kernelpool)

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori muncul di kernel. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7083 : Ian Beer dari Google Project Zero

    CVE-2015-7084 : Ian Beer dari Google Project Zero

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah muncul saat menguraikan pesan mach. Masalah ini telah diatasi melalui validasi pesan mach yang lebih baik.

    CVE-ID

    CVE-2015-7047 : Ian Beer dari Google Project Zero

  • kext tools

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah validasi muncul selama pemuatan ekstensi kernel. Masalah ini telah diatasi dengan verifikasi tambahan.

    CVE-ID

    CVE-2015-7052 : Apple

  • Akses Rantai Kunci

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi yang berbahaya mungkin dapat menyamar sebagai Server Rantai Kunci.

    Deskripsi: Masalah terjadi pada metode interaksi Akses Rantai Kunci dengan Agen Rantai Kunci. Masalah ini telah diatasi dengan menghapus fungsi lama ini.

    CVE-ID

    CVE-2015-7045 : Luyi Xing dan XiaoFeng Wang dari Indiana University Bloomington, Xiaolong Bai dari Indiana University Bloomington dan Tsinghua University, Tongxin Li dari Peking University, Kai Chen dari Indiana University Bloomington dan Institute of Information Engineering, Xiaojing Liao dari Georgia Institute of Technology, Shi-Min Hu dari Tsinghua University, dan Xinhui Han dari Peking University

  • libarchive

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat memproses arsip. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2011-2895 : @practicalswift

  • libc

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Memproses paket perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa kelebihan buffer muncul di perpustakaan standar C. Masalah-masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2015-7038 : Brian D. Wells dari E. W. Scripps,  Narayan Subramanian dari Symantec Corporation/Veritas LLC

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    Entri diperbarui tanggal 3 Maret 2017

  • libexpat

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Beberapa kerentanan di expat

    Deskripsi: Beberapa kerentanan muncul di versi expat sebelum 2.1.0. Masalah ini diatasi dengan memperbarui expat ke versi 2.1.0.

    CVE-ID

    CVE-2012-0876 : Vincent Danen

    CVE-2012-1147 : Kurt Seifried

    CVE-2012-1148 : Kurt Seifried

  • libxml2

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

    Deskripsi: Masalah kerusakan memori muncul saat menguraikan file XML. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7115 : Wei Lei dan Liu Yang dari Universitas Teknologi Nanyang

    CVE-2015-7116 : Wei Lei dan Liu Yang dari Universitas Teknologi Nanyang

  • OpenGL

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul di OpenGL. Masalah-masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7064 : Apple

    CVE-2015-7065 : Apple

    CVE-2015-7066 : Tongbo Luo dan Bo Qu dari Palo Alto Networks

  • OpenLDAP

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Klien jarak jauh yang tidak disahkan mungkin dapat menyebabkan penolakan layanan

    Deskripsi: Masalah validasi input muncul di OpenLDAP. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2015-6908

  • OpenSSH

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Beberapa kerentanan di LibreSSL

    Deskripsi: Beberapa kerentanan muncul di versi LibreSSL sebelum versi 2.1.8. Masalah ini telah diatasi dengan memperbarui LibreSSL ke versi 2.1.8.

    CVE-ID

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Membuka file iWork perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi saat menangani file iWork. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7107

  • Sandbox

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi yang berbahaya dengan hak istimewa dasar mungkin dapat memintas pengacakan tata letak ruang alamat kernel

    Deskripsi: Masalah pemisahan hak istimewa yang tidak memadai muncul di xnu. Masalah ini telah diatasi dengan pemeriksaan otorisasi yang lebih baik.

    CVE-ID

    CVE-2015-7046 : Apple

  • Keamanan

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani handshake SSL. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-7073 : Benoit Foucher dari ZeroC, Inc.

  • Keamanan

    Tersedia untuk: OS X Mavericks v10.9.5 dan OS X Yosemite v10.10.5

    Dampak: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Beberapa masalah kerusakan memori muncul di dekoder ASN.1. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik

    CVE-ID

    CVE-2015-7059 : David Keeler dari Mozilla

    CVE-2015-7060 : Tyson Smith dari Mozilla

    CVE-2015-7061 : Ryan Sleevi dari Google

  • Keamanan

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi berbahaya dapat memperoleh akses ke item rantai kunci milik pengguna

    Deskripsi: Masalah terjadi saat memvalidasi daftar kontrol akses untuk item rantai kunci. Masalah ini telah diatasi melalui pemeriksaan daftar kontrol akses yang ditingkatkan.

    CVE-ID

    CVE-2015-7058

  • Perlindungan Integritas Sistem

    Tersedia untuk: OS X El Capitan v10.11 dan v10.11.1

    Dampak: Aplikasi perusak yang berbahaya dengan hak istimewa dasar dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah hak istimewa muncul saat menangani pemasangan bersama. Masalah ini telah diatasi dengan pemeriksaan otorisasi yang lebih baik.

    CVE-ID

    CVE-2015-7044 : MacDefender

Catatan

  • Pembaruan Keamanan 2015-005 dan 2015-008 disarankan untuk semua pengguna dan meningkatkan keamanan OS X. Setelah menginstal pembaruan ini, plug-in browser web QuickTime 7 tidak lagi diaktifkan secara default. Pelajari apa yang perlu dilakukan jika Anda masih memerlukan plug-in lama ini.

  • OS X El Capitan v10.11.2 mencakup konten keamanan dari Safari 9.0.2.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: