Tentang konten keamanan OS X El Capitan v10.11.6 dan Pembaruan Keamanan 2016-004

Dokumen ini menjelaskan konten keamanan OS X El Capitan v10.11.6 dan Pembaruan Keamanan 2016-004.

Tentang pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID bila memungkinkan.

OS X El Capitan v10.11.6 dan Pembaruan Keamanan 2016-004

Dirilis 18 Juli 2016

apache_mod_php

Tersedia untuk: OS X Yosemite v10.10.5 serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah muncul di PHP sebelum versi 5.5.36. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.5.36.

CVE-2016-5093

CVE-2016-5094

CVE-2016-5096

CVE-2013-7456

Audio

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4649: Juwei Lin(@fuzzerDOTcn) dari Trend Micro

Audio

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4647: Juwei Lin(@fuzzerDOTcn) dari Trend Micro

Audio

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4648: Juwei Lin(@fuzzerDOTcn) dari Trend Micro; Jack Tang dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative Trend Micro

Audio

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.

CVE-2016-4646: Steven Seeley dari Source Incite bekerja sama dengan Zero Day Initiative Trend Micro

bsdiff

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan bilangan bulat muncul di bspatch. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

CVE-2014-9862: peneliti anonim

CFNetwork

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah izin muncul saat menangani cookie browser web. Masalah ini telah diatasi melalui pembatasan yang ditingkatkan.

CVE-2016-4645: Abhinav Bansal dari Zscaler Inc.

Kredensial CFNetwork

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah penurunan muncul dengan kredensial pengesahan HTTP yang disimpan di Rantai Kunci. Masalah ini telah diatasi dengan menyimpan jenis pengesahan dengan kredensial.

CVE-2016-4644: Jerry Decime dikoordinasi melalui CERT

Proxy CFNetwork

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah validasi muncul saat menguraikan respons 407. Masalah ini telah diatasi melalui validasi respons yang ditingkatkan.

CVE-2016-4643: Xiaofeng Zheng dari Tim Blue Lotus, Tsinghua University; Jerry Decime dikoordinasi melalui CERT

Proxy CFNetwork

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi mungkin dapat diam-diam mengirim kata sandi tidak terenkripsi melalui jaringan

Deskripsi: Pengesahan proxy salah melaporkan proxy HTTP yang menerima kredensial dengan aman. Masalah ini telah diatasi melalui peringatan yang ditingkatkan.

CVE-2016-4642: Jerry Decime dikoordinasi melalui CERT

CoreGraphics

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat meningkatkan hak istimewa

Deskripsi: Muncul masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4652: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative Trend Micro

CoreGraphics

Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4637: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)

FaceTime

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengakibatkan panggilan yang direlai yang akan terus-menerus mentransmisi audio meskipun panggilan terlihat telah dihentikan

Deskripsi: Ketidaksesuaian antarmuka pengguna muncul saat menangani panggilan yang direlai. Masalah-masalah ini telah diatasi melalui logika tampilan FaceTime yang ditingkatkan.

CVE-2016-4635: Martin Vigo

Driver Grafis

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4634: Stefan Esser dari SektionEins

ImageIO

Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4629: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)

CVE-2016-4630: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4632: Evgeny Sidorov dari Yandex

ImageIO

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4631: Tyler Bohan dari Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7705 : Craig Young dari Tripwire VERT

Entri ditambahkan pada 30 November 2017

Driver Intel Graphics

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4633: Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent

IOHIDFamily

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4626: Stefan Esser dari SektionEins

IOSurface

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Use-after-free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2016-4625: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-1863: Ian Beer dari Google Project Zero

CVE-2016-4653: Ju Zhu dari Trend Micro

CVE-2016-4582: Shrek_wzw dan Proteas dari Qihoo 360 Nirvan Team

Kernel

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-1865: Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent, CESG

Libc

Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan aliran buffer muncul dalam fungsi "link_ntoa()" di linkaddr.c. Masalah ini diatasi dengan pemeriksaan batas tambahan.

CVE-2016-6559: Apple

Entri ditambahkan pada 10 Januari 2017

libc++abi

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4621: peneliti anonim

libexpat

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Memproses XML perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-0718: Gustavo Grieco

LibreSSL

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah muncul di LibreSSL sebelum 2.2.7. Masalah ini telah diatasi dengan memperbarui LibreSSL ke versi 2.2.7.

CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Mark Brand, dan Ian Beer dari Google Project Zero

CVE-2016-2109: Brian Carpenter

libxml2

Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Beberapa kerentanan dalam libxml2

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2015-8317 : Hanno Boeck

CVE-2016-1836: Wei Lei dan Liu Yang dari Nanyang Technological University

CVE-2016-4447: Wei Lei dan Liu Yang dari Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Entri diperbarui tanggal 5 Juni 2017

libxml2

Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Menguraikan dokumen XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah akses muncul saat menguraikan file XML perusak yang berbahaya. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4449: Kostya Serebryany

libxslt

Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, serta OS X El Capitan v10.11 dan versi lebih baru

Dampak: Beberapa kerentanan dalam libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-1683 : Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Entri diperbarui tanggal 11 April 2017

Jendela Masuk

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4638: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative TrendMicro

Jendela Masuk

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi berbahaya dapat mengeksekusi kode arbitrer yang membahayakan informasi pengguna

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4640: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri diperbarui pada 16 November 2016

Jendela Masuk

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi berbahaya dapat mengeksekusi kode arbitrer yang membahayakan informasi pengguna

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4641: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative Trend Micro

Jendela Masuk

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Pengguna lokal dapat menyebabkan penolakan layanan

Deskripsi: Masalah inisialisasi memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4639: Yubin Fu dari Tencent KeenLab bekerja sama dengan Zero Day Initiative Trend Micro

OpenSSL

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah muncul dalam OpenSSL. Masalah ini telah diatasi dengan mem-backport perbaikan dari OpenSSL 1.0.2h/1.0.1 ke OpenSSL 0.9.8.

CVE-2016-2105: Guido Vranken

CVE-2016-2106: Guido Vranken

CVE-2016-2107: Juraj Somorovsky

CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Mark Brand, dan Ian Beer dari Google Project Zero

CVE-2016-2109: Brian Carpenter

CVE-2016-2176: Guido Vranken

QuickTime

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Memproses file SGI perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4601: Ke Liu dari Tencent's Xuanwu Lab

QuickTime

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Memproses dokumen Photoshop perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4599: Ke Liu dari Tencent's Xuanwu Lab

QuickTime

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Memproses Gambar Bitmap FlashPix perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-4596: Ke Liu dari Tencent's Xuanwu Lab

CVE-2016-4597: Ke Liu dari Tencent's Xuanwu Lab

CVE-2016-4600: Ke Liu dari Tencent's Xuanwu Lab

CVE-2016-4602: Ke Liu dari Tencent's Xuanwu Lab

QuickTime

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4598: Ke Liu dari Tencent's Xuanwu Lab

IsiOtomatis Masuk Safari

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Kata sandi pengguna dapat terlihat di layar

Deskripsi: Masalah muncul di isi-auto kata sandi Safari. Masalah ini telah diatasi melalui pencocokan kolom formulir yang ditingkatkan.

CVE-2016-4595: Jonathan Lewis dari DeARX Services (PTY) LTD

Profil Sandbox

Tersedia untuk: OS X El Capitan v10.11 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengakses daftar proses

Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.

CVE-2016-4594: Stefan Esser dari SektionEins

OS X El Capitan v10.11.6 mencakup konten keamanan Safari 9.1.2.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: