Mengenai konten keamanan OS X El Capitan v10.11.4 dan Pembaruan Keamanan 2016-002

Dokumen ini menjelaskan konten keamanan OS X El Capitan v10.11.4 dan Pembaruan Keamanan 2016-002.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

OS X El Capitan 10.11.4 dan Pembaruan Keamanan 2016-002

  • apache_mod_php

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses file .png perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan muncul di versi libpng sebelum versi 1.6.20. Masalah ini telah diatasi dengan memperbarui libpng ke versi 1.6.20.

    CVE-ID

    CVE-2015-8126 : Adam Mariš

    CVE-2015-8472 : Adam Mariš

  • AppleRAID

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1733 : Proteas dari Qihoo 360 Nirvan Team

  • AppleRAID

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

    Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1732 : Proteas dari Qihoo 360 Nirvan Team

  • AppleUSBNetworking

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Perangkat USB dapat mengakibatkan penolakan layanan

    Deskripsi: Masalah penanganan kesalahan muncul di validasi paket. Masalah ini telah diatasi dengan penanganan kesalahan yang lebih baik.

    CVE-ID

    CVE-2016-1734 : Andrea Barisani dan Andrej Rosano dari Inverse Path

  • Bluetooth

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1735 : Jeonghoon Shin@A.D.D

    CVE-2016-1736 : beist dan ABH dari BoB

  • Carbon

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file fon. Masalah-masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2016-1737 : HappilyCoded (ant4g0nist &r3dsm0k3)

  • dyld

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Penyerang dapat merusak aplikasi dengan tanda tangan kode untuk mengeksekusi kode arbitrer dalam konteks aplikasi

    Deskripsi: Masalah verifikasi tanda tangan kode muncul pada dyld. Masalah ini telah diatasi dengan validasi yang lebih baik.

    CVE-ID

    CVE-2016-1738 : beist dan ABH dari BoB

  • FontParser

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1740 : HappilyCoded (ant4g0nist dan r3dsm0k3) bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

  • HTTPProtocol

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Penyerang dari jarak jauh mungkin dapat mengeksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan muncul di versi nghttp2 sebelum versi 1.6.0, yang paling serius dapat mengakibatkan eksekusi kode jarak jauh. Masalah ini telah diatasi dengan memperbarui nghttp2 ke versi 1.6.0.

    CVE-ID

    CVE-2015-8659

  • Driver Intel Graphics

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1743 : Piotr Bania dari Cisco Talos

    CVE-2016-1744 : Ian Beer dari Google Project Zero

  • IOFireWireFamily

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Pengguna lokal dapat menyebabkan penolakan layanan

    Deskripsi: Masalah dereferensi penunjuk null diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1745 : sweetchip dari Grayhash

  • IOGraphics

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1746 : Peter Pi dari Trend Micro bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

    CVE-2016-1747 : Juwei Lin dari Trend Micro bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

  • IOHIDFamily

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1748 : Brandon Azad

  • IOUSBFamily

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1749 : Ian Beer dari Google Project Zero dan Juwei Lin dari Trend Micro bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah "use after free" (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.

    CVE-ID

    CVE-2016-1750 : CESG

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Kondisi pacu muncul selama pembuatan proses baru. Masalah ini telah diatasi melalui penanganan kondisi yang lebih baik.

    CVE-ID

    CVE-2016-1757 : Ian Beer dari Google Project Zero dan Pedro Vilaça

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah dereferensi penunjuk null diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1756 : Lufeng Li dari Qihoo 360 Vulcan Team

  • Kernel

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1754 : Lufeng Li dari Qihoo 360 Vulcan Team

    CVE-2016-1755 : Ian Beer dari Google Project Zero

    CVE-2016-1759 : lokihardt

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1758 : Brandon Azad

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1753 : Juwei Lin dari Trend Micro bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat menyebabkan penolakan layanan

    Deskripsi: Masalah penolakan layanan telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1752 : CESG

  • libxml2

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312 : David Drysdale dari Google

    CVE-2015-7499

    CVE-2015-7500 : Kostya Serebryany dari Google

    CVE-2015-7942 : Kostya Serebryany dari Google

    CVE-2015-8035 : gustavo.grieco

    CVE-2015-8242 : Hugh Davenport

    CVE-2016-1761 : wol0xff bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

    CVE-2016-1762

  • Pesan

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Mengeklik tautan JavaScript dapat mengungkapkan informasi sensitif pengguna

    Deskripsi: Terjadi masalah saat memproses tautan JavaScript. Masalah ini telah diatasi melalui pemeriksaan kebijakan keamanan konten yang lebih baik.

    CVE-ID

    CVE-2016-1764 : Matthew Bryant dari Uber Security Team (sebelumnya Bishop Fox), Joe DeMesy dan Shubham Shah dari Bishop Fox

  • Pesan

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Penyerang yang dapat memintas pemberian pin sertifikat Apple, memintas koneksi TLS, memasukkan pesan, dan mencatat pesan jenis lampiran terenkripsi mungkin dapat membaca lampiran

    Deskripsi: Masalah kriptografi telah diatasi dengan menolak pesan duplikat pada klien.

    CVE-ID

    CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers, dan Michael Rushanan dari Johns Hopkins University

  • Driver Grafis NVIDIA

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1741 : Ian Beer dari Google Project Zero

  • OpenSSH

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Menyambung ke server dapat membocorkan informasi sensitif pengguna, seperti kunci privasi klien

    Deskripsi: Roaming, yang diaktifkan secara default di klien OpenSSH, mengekspos kebocoran informasi dan kelebihan buffer. Masalah ini telah diatasi dengan menonaktifkan roaming pada klien.

    CVE-ID

    CVE-2016-0777 : Qualys

    CVE-2016-0778 : Qualys

  • OpenSSH

    Tersedia untuk: OS X Mavericks v10.9.5 dan OS X Yosemite v10.10.5

    Dampak: Beberapa kerentanan di LibreSSL

    Deskripsi: Beberapa kerentanan muncul di versi LibreSSL sebelum versi 2.1.8. Masalah ini telah diatasi dengan memperbarui LibreSSL ke versi 2.1.8.

    CVE-ID

    CVE-2015-5333 : Qualys

    CVE-2015-5334 : Qualys

  • OpenSSL

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

    Deskripsi: Kebocoran memori muncul di versi OpenSSL sebelum versi 0.9.8zh. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8zh.

    CVE-ID

    CVE-2015-3195

  • Python

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses file .png perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan muncul di versi libpng sebelum versi 1.6.20. Masalah ini telah diatasi dengan memperbarui ke versi 1.6.20.

    CVE-ID

    CVE-2014-9495

    CVE-2015-0973

    CVE-2015-8126 : Adam Mariš

    CVE-2015-8472 : Adam Mariš

  • QuickTime

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses Gambar Bitmap FlashPix perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1767 : Francis Provencher dari COSIG

    CVE-2016-1768 : Francis Provencher dari COSIG

  • QuickTime

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses dokumen Photoshop perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1769 : Francis Provencher dari COSIG

  • Pengingat

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Mengeklik tautan tel dapat melakukan panggilan tanpa mengonfirmasi pengguna

    Deskripsi: Pengguna tidak dikonfirmasi sebelum memulai panggilan. Masalah ini telah diatasi melalui pemeriksaan hak yang lebih baik.

    CVE-ID

    CVE-2016-1770 : Guillaume Ross of Rapid7 dan Laurent Chouinard dari Laurent.ca

  • Ruby

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kerentanan penggunaan string bernoda yang tidak aman muncul di versi sebelum 2.0.0-p648. Masalah ini telah diatasi dengan memperbarui ke versi 2.0.0-p648.

    CVE-ID

    CVE-2015-7551

  • Keamanan

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Pengguna lokal dapat memeriksa keberadaan file arbitrer

    Deskripsi: Masalah izin muncul pada alat tanda tangan kode. Masalah ini telah diatasi melalui pemeriksaan kepemilikan tambahan.

    CVE-ID

    CVE-2016-1773 : Mark Mentovai dari Google Inc.

  • Keamanan

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul di decoder ASN.1. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1950 : Francis Gabriel dari Quarkslab

  • Tcl

    Tersedia untuk: OS X Yosemite v10.10.5 dan OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses file .png perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan muncul di versi libpng sebelum versi 1.6.20. Masalah ini telah diatasi dengan menghapus libpng.

    CVE-ID

    CVE-2015-8126

  • TrueTypeScaler

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat memproses file fon. Masalah ini telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1775 : 0x1byte bekerja sama dengan Zero Day Initiative (ZDI) dari Trend Micro

  • Wi-Fi

    Tersedia untuk: OS X El Capitan v10.11 hingga v10.11.3

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer

    Deskripsi: Masalah validasi bingkai dan kerusakan memori muncul pada ethertype tertentu. Masalah ini telah diatasi melalui validasi ethertype tambahan dan penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-0801 : peneliti anonim

    CVE-2016-0802 : peneliti anonim

OS X El Capitan 10.11.4 mencakup konten keamanan dari Safari 9.1.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: