Mengenai konten keamanan macOS Sierra 10.12

Dokumen ini menjelaskan konten keamanan macOS Sierra 10.12.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi telah dilakukan dan perbaikan program atau rilis telah tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, kunjungi halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

macOS Sierra 10.12

apache

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat memproksi lalu lintas melalui server arbitrer

Deskripsi: Masalah muncul saat menangani variabel lingkungan HTTP_PROXY. Masalah ini telah diatasi dengan tidak mengatur variabel lingkungan HTTP_PROXY dari CGI.

CVE-2016-4694: Dominic Scheirlinck dan Scott Geary dari Vend

apache_mod_php

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Beberapa masalah dalam PHP, yang paling signifikan dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

Deskripsi: Beberapa masalah dalam PHP telah diatasi dengan memperbarui PHP ke versi 5.6.24.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Dukungan HSSPI Apple

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4697: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

AppleEFIRuntime

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4696: Shrek_wzw dari Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul dalam kebijakan penerimaan port tugas. Masalah ini telah diatasi melalui validasi hak proses dan ID Tim yang lebih baik.

CVE-2016-4698: Pedro Vilaça

AppleUUC

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4699: Jack Tang (@jacktang310) dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2016-4700: Jack Tang (@jacktang310) dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

Firewall Aplikasi

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat menyebabkan penolakan layanan

Deskripsi: Masalah validasi muncul saat menangani perintah firewall. Masalah ini telah diatasi melalui validasi SO_EXECPATH yang lebih baik.

CVE-2016-4701: Meder Kydyraliev dari Tim Keamanan Google

ATS

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4779: riusksk dari Departemen Platform Keamanan Tencent

Audio

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park, dan Taekyoung Kwon dari Information Security Lab, Yonsei University.

Bluetooth

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) dari Trend Micro

cd9660

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Masalah validasi input telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4706: Recurity Labs atas nama BSI (Kantor Federal untuk Keamanan Informasi Jerman)

CFNetwork

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat menemukan situs web yang telah dikunjungi pengguna

Deskripsi: Masalah muncul di penghapusan Penyimpanan Lokal. Masalah ini telah diatasi melalui pembersihan Penyimpanan Lokal yang lebih baik.

CVE-2016-4707: peneliti anonim

CFNetwork

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat membahayakan informasi pengguna

Deskripsi: Masalah validasi input muncul saat menguraikan header set-cookie. Masalah ini telah diatasi melalui pemeriksaan validasi yang lebih baik.

CVE-2016-4708: Dawid Czagan dari Silesia Security Lab

CommonCrypto

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi yang menggunakan CCrypt dapat mengungkapkan teks biasa sensitif jika buffer output dan input sama

Deskripsi: Masalah validasi input muncul di corecrypto. Masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan menghapus kode yang rentan.

CVE-2016-4712: Gergo Koteles

CoreDisplay

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna dengan akses berbagi layar dapat melihat layar pengguna lain

Deskripsi: Masalah pengelolaan sesi muncul saat menangani sesi berbagi layar. Masalah ini telah diatasi melalui pelacakan sesi yang lebih baik.

CVE-2016-4713: Ruggero Alberti

curl

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Beberapa masalah di curl

Deskripsi: Beberapa masalah keamanan muncul di curl sebelum versi 7.49.1. Masalah-masalah ini telah diatasi dengan memperbarui curl ke versi 7.49.1.

CVE-2016-0755: Isaac Boukris

Panel Pref Tanggal & Waktu

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi berbahaya dapat menentukan lokasi pengguna saat ini

Deskripsi: Masalah muncul saat menangani file .GlobalPreferences. Masalah ini telah diatasi melalui validasi yang lebih baik.

CVE-2016-4715: Taiki (@Taiki__San) di ESIEA (Paris)

Penengah Disk

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Seorang pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah akses muncul di diskutil. Masalah ini telah diatasi melalui pemeriksaan izin yang lebih baik.

CVE-2016-4716: Alexander Allen dari North Carolina School of Science and Mathematics

Penanda File

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi lokal dapat menyebabkan penolakan layanan

Deskripsi: Masalah pengelolaan sumber daya muncul saat menangani penanda yang diperiksa. Masalah ini telah diatasi melalui penanganan deskriptor file yang lebih baik.

CVE-2016-4717: Tom Bradley dari 71Squared Ltd

FontParser

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Memproses fon perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Kelebihan buffer terjadi saat menangani file fon. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2016-4718: Apple

IDS - Konektivitas

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Penyerang dengan posisi jaringan hak istimewa dapat menyebabkan penolakan layanan

Deskripsi: Masalah pemalsuan muncul saat menangani Relai Panggilan. Masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4722: Martin Vigo (@martin_vigo) dari salesforce.com

ImageIO

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah baca di luar batas muncul saat menguraikan gambar SGI. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2016-4682: Ke Liu dari Tencent's Xuanwu Lab

Driver Intel Graphics

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4723: daybreaker dari Minionz

Driver Intel Graphics

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2016-7582: Liang Chen dari Tencent KeenLab

IOAcceleratorFamily

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4724: Cererdlong, Eakerqiu dari Tim OverSky

IOAcceleratorFamily

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4725: Rodger Combs dari Plex, Inc

IOAcceleratorFamily

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4726: peneliti anonim

IOThunderboltFamily

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4727: wmin bekerja sama dengan Zero Day Initiative dari Trend Micro

Modul PAM Kerberos v5

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Penyerang dari jarak jauh menentukan adanya akun pengguna

Deskripsi: Saluran sisi waktu memungkinkan penyerang menentukan adanya akun pengguna di sistem. Masalah ini telah diatasi dengan melakukan pemeriksaan waktu konstan.

CVE-2016-4745: peneliti anonim

Kernel

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi lokal dapat mengakses file terbatas

Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi melalui validasi jalur yang lebih baik.

CVE-2016-4771: Balazs Bucsay, Direktur Penelitian dari MRG Effitas

Kernel

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penanganan kunci telah diatasi melalui penanganan kunci yang lebih baik.

CVE-2016-4772: Marc Heuse dari mh-sec

Kernel

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat menentukan tata letak memori kernel

Deskripsi: Muncul beberapa masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kernel

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4775: Brandon Azad

Kernel

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk tidak tepercaya telah diatasi dengan menghapus kode yang bermasalah.

CVE-2016-4777: Lufeng Li dari Qihoo 360 Vulcan Team

Kernel

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4778: CESG

libarchive

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Beberapa masalah di libarchive

Deskripsi: Beberapa masalah kerusakan memori muncul di libarchive. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4736: Proteas dari Qihoo 360 Nirvan Team

libxml2

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Beberapa masalah dalam libxml2, yang paling signifikan dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi mungkin dapat keluar dari sandbox

Deskripsi: Beberapa kelemahan muncul ketika melakukan spawning beberapa proses baru menggunakan launchctl. Masalah-masalah ini telah diatasi melalui penegakan kebijakan yang lebih baik.

CVE-2016-4617: Gregor Kopf dari Recurity Labs atas nama BSI (Kantor Federal untuk Keamanan Informasi Jerman)

libxslt

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4738: Nick Wellnhofer

Mail

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Situs web berbahaya mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan URL yang lebih baik.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

mDNSResponder

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Penyerang dari jarak jauh dapat melihat informasi sensitif

Deskripsi: Aplikasi yang menggunakan VMnet.framework mengaktifkan proxy DNS yang diperhatikan di semua antarmuka jaringan. Masalah ini telah diatasi dengan membatasi respons kueri DNS terhadap antarmuka lokal.

CVE-2016-4739: Magnus Skjegstad, David Scott, dan Anil Madhavapeddy dari Docker, Inc.

NSSecureTextField

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi berbahaya dapat membocorkan kredensial pengguna

Deskripsi: Masalah pengelolaan kondisi muncul di NSSecureTextField, yang gagal mengaktifkan Input Aman. Masalah ini telah diatasi melalui pengelolaan jendela yang lebih baik.

CVE-2016-4742: Rick Fillion dari AgileBits, Daniel Jalkut dari Red Sweater Software

Perl

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat memintas mekanisme perlindungan noda

Deskripsi: Masalah muncul saat menguraikan variabel lingkungan. Masalah ini telah diatasi melalui validasi lingkungan yang lebih baik.

CVE-2016-4748: Stephane Chazelas

Kamera S2

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4750: Jack Tang (@jacktang310) dan Moony Li dari Trend Micro bekerja sama dengan Zero Day Initiative dari Trend Micro

Security

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi yang menggunakan SecKeyDeriveFromPassword dapat membocorkan memori

Deskripsi: Masalah pengelolaan sumber daya muncul saat menangani turunan kunci. Masalah ini telah diatasi dengan menambahkan CF_RETURNS_RETAINED ke SecKeyDeriveFromPassword.

CVE-2016-4752: Mark Rogers dari PowerMapper Software

Security

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul di image disk bertanda. Masalah ini telah diatasi dengan validasi ukuran yang lebih baik.

CVE-2016-4753: Mark Mentovai dari Google Inc.

Terminal

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah izin muncul di .bash_history dan .bash_session. Masalah ini telah diatasi melalui pembatasan akses yang lebih baik.

CVE-2016-4755: Axel Luttgens

WindowServer

Tersedia untuk: OS X Lion v10.7.5 dan versi lebih baru

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4709: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2016-4710: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro