Mengenai konten keamanan OS X El Capitan v10.11.5 dan Pembaruan Keamanan 2016-003

Dokumen ini menjelaskan konten keamanan OS X El Capitan v10.11.5 dan Pembaruan Keamanan 2016-003.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Apple Product Security.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

OS X El Capitan v10.11.5 dan Pembaruan Keamanan 2016-003

  • AMD

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1792 : beist dan ABH dari BoB

  • AMD

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat menentukan tata letak memori kernel

    Deskripsi: Masalah muncul yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2016-1791 : daybreaker dari Minionz

  • apache_mod_php

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Beberapa kerentanan di PHP

    Deskripsi: Beberapa kerentanan muncul di versi PHP sebelum 5.5.34. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.34.

    CVE-ID

    CVE-2015-8865

    CVE-2016-3141

    CVE-2016-3142

    CVE-2016-4070

    CVE-2016-4071

    CVE-2016-4072

    CVE-2016-4073

  • AppleGraphicsControl

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1793 : Ian Beer dari Google Project Zero

    CVE-2016-1794 : Ian Beer dari Google Project Zero

  • AppleGraphicsPowerManagement

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1795 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro

  • ATS

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

    Deskripsi: Masalah akses memori di luar batas telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2016-1796 : lokihardt bekerja sama dengan Zero Day Initiative dari Trend Micro

  • ATS

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah muncul di kebijakan sandbox. Masalah ini telah diatasi dengan menerapkan sandbox pada FontValidator.

    CVE-ID

    CVE-2016-1797 : lokihardt bekerja sama dengan Zero Day Initiative dari Trend Micro

  • Audio

    Tersedia untuk: OS X Yosemite v10.10.5 dan OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1798 : Juwei Lin dari TrendMicro

  • Audio

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1799 : Juwei Lin dari TrendMicro

  • Asisten Jaringan Terikat

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengeksekusi kode arbitrer dengan bantuan pengguna

    Deskripsi: Masalah penanganan skema URL khusus diatasi melalui peningkatan validasi input.

    CVE-ID

    CVE-2016-1800 : Apple

  • Proxy CFNetwork

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi pengguna yang rahasia

    Deskripsi: Kebocoran informasi terjadi saat menangani permintaan HTTP dan HTTPS. Masalah ini telah diatasi melalui peningkatan penanganan URL.

    CVE-ID

    CVE-2016-1801 : Alex Chapman dan Paul Stone dari Context Information Security

  • CommonCrypto

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi perusak yang berbahaya dapat membocorkan informasi rahasia pengguna

    Deskripsi: Masalah muncul saat menangani nilai pengembalian di CCCrypt. Masalah ini telah diatasi melalui peningkatan pengelolaan panjang kunci.

    CVE-ID

    CVE-2016-1802 : Klaus Rodewig

  • CoreCapture

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1803 : Ian Beer dari Google Project Zero, daybreaker bekerja sama dengan Zero Day Initiative dari Trend Micro

  • CoreStorage

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah konfigurasi telah diatasi melalui pembatasan tambahan.

    CVE-ID

    CVE-2016-1805 : Stefan Esser

  • Pelapor Crash

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

    Deskripsi: Masalah konfigurasi telah diatasi melalui pembatasan tambahan.

    CVE-ID

    CVE-2016-1806 : lokihardt bekerja sama dengan Zero Day Initiative dari Trend Micro

  • Image Disk

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang lokal dapat membaca memori kernel

    Deskripsi: Kondisi pacu telah diatasi melalui peningkatan penguncian.

    CVE-ID

    CVE-2016-1807 : Ian Beer dari Google Project Zero

  • Image Disk

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori terjadi saat menguraikan image disk. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1808 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro

  • Utilitas Disk

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Utilitas Disk gagal meringkas dan mengenkripsi image disk

    Deskripsi: Kunci yang salah digunakan untuk mengenkripsi image disk. Masalah ini telah diatasi dengan memperbarui kunci enkripsi.

    CVE-ID

    CVE-2016-1809 : Ast A. Moore (@astamoore) dan David Foster dari TechSmartKids

  • Driver Grafis

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1810 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro

  • ImageIO

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1811 : Lander Brandt (@landaire)

  • Driver Intel Graphics

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Kelebihan buffer telah diatasi melalui peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2016-1812 : Juwei Lin dari TrendMicro

  • Driver Intel Graphics

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat menentukan tata letak memori kernel

    Deskripsi: Beberapa masalah akses telah diatasi melalui pembatasan tambahan.

    CVE-ID

    CVE-2016-1860 : Brandon Azad dan Qidan He (@flanker_hqd) dari KeenLab, Tencent

    CVE-2016-1862 : Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent

  • IOAcceleratorFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui peningkatan penguncian.

    CVE-ID

    CVE-2016-1814 : Juwei Lin dari TrendMicro

  • IOAcceleratorFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1815 : Liang Chen, Qidan He dari KeenLab, Tencent bekerja sama dengan Zero Day Initiative dari Trend Micro

    CVE-2016-1817 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

    CVE-2016-1818: Juwei Lin dari TrendMicro, sweetchip@GRAYHASH bekerja sama dengan Trend Micro’s Zero Day Initiative

    CVE-2016-1819 : Ian Beer dari Google Project Zero

    Entri diperbarui pada tanggal 13 Desember 2016

  • IOAcceleratorFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1813 : Ian Beer dari Google Project Zero

    CVE-2016-1816 : Peter Pi (@heisecode) dari Trend Micro dan Juwei Lin dari Trend Micro

  • IOAudioFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Kelebihan buffer telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2016-1820 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

  • IOAudioFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.

    CVE-ID

    CVE-2016-1821 : Ian Beer dari Google Project Zero

  • IOFireWireFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1822 : CESG

  • IOHIDFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1823 : Ian Beer dari Google Project Zero

    CVE-2016-1824 : Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent

    CVE-2016-4650 : Peter Pi dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari HP

  • IOHIDFamily

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1825 : Brandon Azad

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1827 : Brandon Azad

    CVE-2016-1828 : Brandon Azad

    CVE-2016-1829 : CESG

    CVE-2016-1830 : Brandon Azad

    CVE-2016-1831 : Brandon Azad

  • Kernel

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Kelebihan bilangan bulat terjadi di dtrace. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2016-1826 : Ben Murphy bekerja sama dengan Zero Day Initiative dari Trend Micro

  • libc

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

    CVE-ID

    CVE-2016-1832 : Karl Williamson

  • libxml2

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Memproses XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1833 : Mateusz Jurczyk

    CVE-2016-1834 : Apple

    CVE-2016-1835 : Wei Lei dan Liu Yang dari Nanyang Technological University

    CVE-2016-1836 : Wei Lei dan Liu Yang dari Nanyang Technological University

    CVE-2016-1837 : Wei Lei dan Liu Yang dari Nanyang Technological University

    CVE-2016-1838 : Mateusz Jurczyk

    CVE-2016-1839 : Mateusz Jurczyk

    CVE-2016-1840 : Kostya Serebryany

  • libxslt

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1841 : Sebastian Apelt

  • MapKit

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi pengguna yang rahasia

    Deskripsi: Tautan bersama dikirim dengan HTTP dan bukan HTTPS. Masalah ini telah diatasi dengan mengaktifkan HTTPS untuk tautan bersama.

    CVE-ID

    CVE-2016-1842 : Richard Shupak (https://www.linkedin.com/in/rshupak)

  • Pesan

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Server atau pengguna yang berbahaya dapat mengubah daftar kontak pengguna lain

    Deskripsi: Masalah validasi muncul di perubahan daftar. Masalah ini telah diatasi melalui peningkatan validasi kumpulan daftar.

    CVE-ID

    CVE-2016-1844 : Thijs Alkemade dari Computest

  • Pesan

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang jarak jauh dapat membocorkan informasi rahasia pengguna

    Deskripsi: Masalah pengodean muncul dalam penguraian nama file. Masalah ini telah diatasi melalui peningkatan pengodean nama file.

    CVE-ID

    CVE-2016-1843 : Heige (a.k.a. SuperHei) dari Knownsec 404 Security Team [http://www.knownsec.com]

  • Multi-Touch

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1804 : Liang Chen, Yubin Fu, Marco Grassi dari KeenLab, Tencent dari Zero Day Initiative dari Trend Micro

  • Driver Grafis NVIDIA

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1846 : Ian Beer dari Google Project Zero

    CVE-2016-1861 : Ian Beer dari Google Project Zero

  • OpenGL

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1847 : Tongbo Luo dan Bo Qu dari Palo Alto Networks

  • QuickTime

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1848 : Francis Provencher dari COSIG

  • SceneKit

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2016-1850 : Tyler Bohan dari Cisco Talos

  • Kunci Layar

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Seseorang dengan akses langsung ke komputer dapat mengatur ulang kata sandi yang sudah kedaluwarsa dari layar terkunci

    Deskripsi: Masalah muncul dalam pengelolaan profil kata sandi. Masalah ini telah diatasi melalui peningkatan penanganan pengaturan ulang kata sandi.

    CVE-ID

    CVE-2016-1851 : peneliti anonim

  • Tcl

    Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi pengguna yang rahasia

    Deskripsi: Masalah keamanan protokol telah diatasi dengan menonaktifkan SSLv2.

    CVE-ID

    CVE-2016-1853 : para peneliti di Tel Aviv University, Münster University of Applied Sciences, Ruhr University Bochum, University of Pennsylvania, Hashcat project, University of Michigan, Two Sigma, Google, dan OpenSSL project: Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar, dan Yuval Shavitt

OS X El Capitan v10.11.5 mencakup konten keamanan Safari 9.1.1.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: