Mengenai konten keamanan OS X El Capitan v10.11.5 dan Pembaruan Keamanan 2016-003
Dokumen ini menjelaskan konten keamanan OS X El Capitan v10.11.5 dan Pembaruan Keamanan 2016-003.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Apple Product Security.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.
OS X El Capitan v10.11.5 dan Pembaruan Keamanan 2016-003
AMD
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1792 : beist dan ABH dari BoB
AMD
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat menentukan tata letak memori kernel
Deskripsi: Masalah muncul yang mengakibatkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-ID
CVE-2016-1791 : daybreaker dari Minionz
apache_mod_php
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Beberapa kerentanan di PHP
Deskripsi: Beberapa kerentanan muncul di versi PHP sebelum 5.5.34. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.34.
CVE-ID
CVE-2015-8865
CVE-2016-3141
CVE-2016-3142
CVE-2016-4070
CVE-2016-4071
CVE-2016-4072
CVE-2016-4073
AppleGraphicsControl
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2016-1793 : Ian Beer dari Google Project Zero
CVE-2016-1794 : Ian Beer dari Google Project Zero
AppleGraphicsPowerManagement
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1795 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro
ATS
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah akses memori di luar batas telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2016-1796 : lokihardt bekerja sama dengan Zero Day Initiative dari Trend Micro
ATS
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah muncul di kebijakan sandbox. Masalah ini telah diatasi dengan menerapkan sandbox pada FontValidator.
CVE-ID
CVE-2016-1797 : lokihardt bekerja sama dengan Zero Day Initiative dari Trend Micro
Audio
Tersedia untuk: OS X Yosemite v10.10.5 dan OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2016-1798 : Juwei Lin dari TrendMicro
Audio
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2016-1799 : Juwei Lin dari TrendMicro
Asisten Jaringan Terikat
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengeksekusi kode arbitrer dengan bantuan pengguna
Deskripsi: Masalah penanganan skema URL khusus diatasi melalui peningkatan validasi input.
CVE-ID
CVE-2016-1800 : Apple
Proxy CFNetwork
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi pengguna yang rahasia
Deskripsi: Kebocoran informasi terjadi saat menangani permintaan HTTP dan HTTPS. Masalah ini telah diatasi melalui peningkatan penanganan URL.
CVE-ID
CVE-2016-1801 : Alex Chapman dan Paul Stone dari Context Information Security
CommonCrypto
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah muncul saat menangani nilai pengembalian di CCCrypt. Masalah ini telah diatasi melalui peningkatan pengelolaan panjang kunci.
CVE-ID
CVE-2016-1802 : Klaus Rodewig
CoreCapture
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2016-1803 : Ian Beer dari Google Project Zero, daybreaker bekerja sama dengan Zero Day Initiative dari Trend Micro
CoreStorage
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah konfigurasi telah diatasi melalui pembatasan tambahan.
CVE-ID
CVE-2016-1805 : Stefan Esser
Pelapor Crash
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Masalah konfigurasi telah diatasi melalui pembatasan tambahan.
CVE-ID
CVE-2016-1806 : lokihardt bekerja sama dengan Zero Day Initiative dari Trend Micro
Image Disk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang lokal dapat membaca memori kernel
Deskripsi: Kondisi pacu telah diatasi melalui peningkatan penguncian.
CVE-ID
CVE-2016-1807 : Ian Beer dari Google Project Zero
Image Disk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi saat menguraikan image disk. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1808 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro
Utilitas Disk
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Utilitas Disk gagal meringkas dan mengenkripsi image disk
Deskripsi: Kunci yang salah digunakan untuk mengenkripsi image disk. Masalah ini telah diatasi dengan memperbarui kunci enkripsi.
CVE-ID
CVE-2016-1809 : Ast A. Moore (@astamoore) dan David Foster dari TechSmartKids
Driver Grafis
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1810 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro
ImageIO
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2016-1811 : Lander Brandt (@landaire)
Driver Intel Graphics
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi melalui peningkatan pemeriksaan batas.
CVE-ID
CVE-2016-1812 : Juwei Lin dari TrendMicro
Driver Intel Graphics
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat menentukan tata letak memori kernel
Deskripsi: Beberapa masalah akses telah diatasi melalui pembatasan tambahan.
CVE-ID
CVE-2016-1860 : Brandon Azad dan Qidan He (@flanker_hqd) dari KeenLab, Tencent
CVE-2016-1862 : Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent
IOAcceleratorFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui peningkatan penguncian.
CVE-ID
CVE-2016-1814 : Juwei Lin dari TrendMicro
IOAcceleratorFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1815 : Liang Chen, Qidan He dari KeenLab, Tencent bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2016-1817 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2016-1818: Juwei Lin dari TrendMicro, sweetchip@GRAYHASH bekerja sama dengan Trend Micro’s Zero Day Initiative
CVE-2016-1819 : Ian Beer dari Google Project Zero
Entri diperbarui pada tanggal 13 Desember 2016
IOAcceleratorFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2016-1813 : Ian Beer dari Google Project Zero
CVE-2016-1816 : Peter Pi (@heisecode) dari Trend Micro dan Juwei Lin dari Trend Micro
IOAudioFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2016-1820 : Moony Li (@Flyic) dan Jack Tang (@jacktang310) dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro
IOAudioFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui validasi yang lebih baik.
CVE-ID
CVE-2016-1821 : Ian Beer dari Google Project Zero
IOFireWireFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1822 : CESG
IOHIDFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1823 : Ian Beer dari Google Project Zero
CVE-2016-1824 : Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent
CVE-2016-4650 : Peter Pi dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari HP
IOHIDFamily
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1825 : Brandon Azad
Kernel
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1827 : Brandon Azad
CVE-2016-1828 : Brandon Azad
CVE-2016-1829 : CESG
CVE-2016-1830 : Brandon Azad
CVE-2016-1831 : Brandon Azad
Kernel
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan bilangan bulat terjadi di dtrace. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-ID
CVE-2016-1826 : Ben Murphy bekerja sama dengan Zero Day Initiative dari Trend Micro
libc
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-ID
CVE-2016-1832 : Karl Williamson
libxml2
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1833 : Mateusz Jurczyk
CVE-2016-1834 : Apple
CVE-2016-1835 : Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-1836 : Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-1837 : Wei Lei dan Liu Yang dari Nanyang Technological University
CVE-2016-1838 : Mateusz Jurczyk
CVE-2016-1839 : Mateusz Jurczyk
CVE-2016-1840 : Kostya Serebryany
libxslt
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1841 : Sebastian Apelt
MapKit
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi pengguna yang rahasia
Deskripsi: Tautan bersama dikirim dengan HTTP dan bukan HTTPS. Masalah ini telah diatasi dengan mengaktifkan HTTPS untuk tautan bersama.
CVE-ID
CVE-2016-1842 : Richard Shupak (https://www.linkedin.com/in/rshupak)
Pesan
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Server atau pengguna yang berbahaya dapat mengubah daftar kontak pengguna lain
Deskripsi: Masalah validasi muncul di perubahan daftar. Masalah ini telah diatasi melalui peningkatan validasi kumpulan daftar.
CVE-ID
CVE-2016-1844 : Thijs Alkemade dari Computest
Pesan
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang jarak jauh dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah pengodean muncul dalam penguraian nama file. Masalah ini telah diatasi melalui peningkatan pengodean nama file.
CVE-ID
CVE-2016-1843 : Heige (a.k.a. SuperHei) dari Knownsec 404 Security Team [http://www.knownsec.com]
Multi-Touch
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1804 : Liang Chen, Yubin Fu, Marco Grassi dari KeenLab, Tencent dari Zero Day Initiative dari Trend Micro
Driver Grafis NVIDIA
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1846 : Ian Beer dari Google Project Zero
CVE-2016-1861 : Ian Beer dari Google Project Zero
OpenGL
Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, dan OS X El Capitan v10.11 dan versi lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1847 : Tongbo Luo dan Bo Qu dari Palo Alto Networks
QuickTime
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1848 : Francis Provencher dari COSIG
SceneKit
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Membuka file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2016-1850 : Tyler Bohan dari Cisco Talos
Kunci Layar
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Seseorang dengan akses langsung ke komputer dapat mengatur ulang kata sandi yang sudah kedaluwarsa dari layar terkunci
Deskripsi: Masalah muncul dalam pengelolaan profil kata sandi. Masalah ini telah diatasi melalui peningkatan penanganan pengaturan ulang kata sandi.
CVE-ID
CVE-2016-1851 : peneliti anonim
Tcl
Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi pengguna yang rahasia
Deskripsi: Masalah keamanan protokol telah diatasi dengan menonaktifkan SSLv2.
CVE-ID
CVE-2016-1853 : para peneliti di Tel Aviv University, Münster University of Applied Sciences, Ruhr University Bochum, University of Pennsylvania, Hashcat project, University of Michigan, Two Sigma, Google, dan OpenSSL project: Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar, dan Yuval Shavitt
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.