Tentang konten keamanan macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite

Dokumen ini menjelaskan tentang konten keamanan macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite

apache_mod_php

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah muncul di PHP sebelum 5.6.26. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7609: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

Aset

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang lokal dapat memodifikasi aset seluler yang diunduh

Deskripsi: Masalah izin muncul di aset seluler. Masalah ini telah diatasi melalui pembatasan akses yang ditingkatkan.

CVE-2016-7628: Marcel Bresink dari Marcel Bresink Software-Systeme

Audio

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7658: Haohao Kong dari Keen Lab (@keen_lab) dari Tencent

CVE-2016-7659: Haohao Kong dari Keen Lab (@keen_lab) dari Tencent

Bluetooth

Tersedia untuk: macOS Sierra 10.12.1, OS X El Capitan v10.11.6, dan OS X Yosemite v10.10.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa, dan Marko Laakso dari Synopsys Software Integrity Group

Bluetooth

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7605: daybreaker dari Minionz

Bluetooth

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7617: Radu Motspan bekerja sama dengan Zero Day Initiative dari Trend Micro, Ian Beer dari Google Project Zero

CoreCapture

Tersedia untuk: macOS Sierra 10.12.1 dan OS X El Capitan v10.11.6

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

CVE-2016-7604: daybreaker dari Minionz

CoreFoundation

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses string berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori terjadi saat memproses string. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

CVE-2016-7663: peneliti anonim

CoreGraphics

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Layar Eksternal CoreMedia

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi lokal mungkin dapat mengeksekusi kode arbitrer dalam konteks daemon mediaserver

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7655: Keen Lab bekerja sama dengan Zero Day Initiative dari Trend Micro

Pemutaran CoreMedia

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file .mp4 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7588: dragonltx dari Laboratorium Huawei 2012

CoreStorage

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7603: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreText

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file font. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.

CVE-2016-7595: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

CoreText

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses string perusak berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah saat mengubah rentang tumpang tindih diatasi melalui validasi yang disempurnakan.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) dari Digital Unit (dgunit.com)

curl

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Beberapa masalah muncul dalam curl. Masalah tersebut telah diatasi dengan memperbarui curl ke versi 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Directory Services (Direktori Layanan)

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2016-7633: Ian Beer dari Google Project Zero

Gambar Disk

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7616: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

FontParser

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file font. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.

CVE-2016-4691: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

Foundation

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Membuka file .gcx perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7618: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

Grapher

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Membuka file .gcx perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7622: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

ICU

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7594: André Bargull

ImageIO

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.

CVE-2016-7643: Yangkang (@dnpushme) dari Qihoo360 Qex Team

Driver Intel Graphics

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7602: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

IOFireWireFamily

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang lokal dapat membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.

CVE-2016-7624: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOHIDFamily

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi lokal dengan hak istimewa sistem mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2016-7591: daybreaker dari Minionz

IOKit

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7657: Keen Lab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOKit

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.

CVE-2016-7625: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOKit

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.

CVE-2016-7714: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOSurface

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.

CVE-2016-7620: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-7606: @cocoahuke, Chen Qin dari Tim Topsec Alpha (topsec.com)

CVE-2016-7612: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat membaca memori kernel

Deskripsi: Masalah inisialisasi yang tidak memadai telah diatasi dengan menginisialisasi memori yang kembali ke ruang pengguna secara tepat.

CVE-2016-7607: Brandon Azad

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7615: National Cyber Security Centre (NCSC) Inggris

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat mengakibatkan sistem terhenti tiba-tiba atau eksekusi kode arbitrer di kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2016-7621: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7637: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi lokal dengan hak istimewa sistem mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2016-7644: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7647: Lufeng Li dari Qihoo 360 Vulcan Team

kext tools

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7629: @cocoahuke

libarchive

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang lokal mungkin dapat menimpa file yang ada

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi melalui validasi symlink yang ditingkatkan.

CVE-2016-7619: peneliti anonim

LibreSSL

Tersedia untuk: macOS Sierra 10.12.1 dan OS X El Capitan v10.11.6

Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan di perkembangan OCSP tak terbatas telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-6304

OpenLDAP

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptopgrafis RC4

Deskripsi: RC4 dihapus sebagai chiper default.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal tanpa hak istimewa bisa memperoleh akses ke aplikasi istimewa

Deskripsi: Autentikasi PAM dengan aplikasi yang terkena sandbox gagal dengan tidak aman. Masalah ini telah diatasi dengan penanganan kesalahan yang ditingkatkan.

CVE-2016-7600: Perette Barella dari DeviousFish.com

OpenSSL

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer muncul dalam MDC2_Update(). Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-6303

OpenSSL

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan di perkembangan OCSP tak terbatas telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-6304

Manajemen Daya

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah dalam referensi nama port mach telah diatasi melalui validasi yang disempurnakan.

CVE-2016-7661: Ian Beer dari Google Project Zero

Keamanan

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptografis 3DES

Deskripsi: 3DES telah dihapus sebagai chiper default.

CVE-2016-4693: Gaëtan Leurent dan Karthikeyan Bhargavan dari INRIA Paris

Keamanan

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat mengakibatkan penolakan layanan

Deskripsi: Masalah validasi muncul saat menangani URL responden OCSP. Masalah ini telah diatasi dengan memverifikasi status pencabutan OCSP setelah validasi CA dan membatasi jumlah permintaan OCSP per sertifikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Keamanan

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Sertifikat mungkin tiba-tiba dievaluasi sebagai terpercaya

Deskripsi: Masalah evaluasi sertifikat muncul dalam validasi sertifikat. Masalah ini telah diatasi melalui validasi sertifikat tambahan.

CVE-2016-7662: Apple

syslog

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah dalam referensi nama port mach telah diatasi melalui validasi yang disempurnakan.

CVE-2016-7660: Ian Beer dari Google Project Zero

Wi-Fi

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal yang berbahaya dapat melihat informasi konfigurasi jaringan yang sensitif

Deskripsi: Konfigurasi jaringan diatur global secara tidak terduga. Masalah ini telah diatasi dengan memindahkan konfigurasi jaringan yang sensitif ke pengaturan per pengguna.

CVE-2016-7761: Peter Loos, Karlsruhe, Jerman

xar

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Penggunaan variabel yang tidak diinisialisasi telah diatasi melalui validasi yang telah ditingkatkan.

CVE-2016-7742: Gareth Evans, Keamanan Informasi Konteks