Tentang konten keamanan macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite
Dokumen ini menjelaskan tentang konten keamanan macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite
apache_mod_php
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah muncul di PHP sebelum 5.6.26. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7609: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro
Aset
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang lokal dapat memodifikasi aset seluler yang diunduh
Deskripsi: Masalah izin muncul di aset seluler. Masalah ini telah diatasi melalui pembatasan akses yang ditingkatkan.
CVE-2016-7628: Marcel Bresink dari Marcel Bresink Software-Systeme
Audio
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7658: Haohao Kong dari Keen Lab (@keen_lab) dari Tencent
CVE-2016-7659: Haohao Kong dari Keen Lab (@keen_lab) dari Tencent
Bluetooth
Tersedia untuk: macOS Sierra 10.12.1, OS X El Capitan v10.11.6, dan OS X Yosemite v10.10.5
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa, dan Marko Laakso dari Synopsys Software Integrity Group
Bluetooth
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7605: daybreaker dari Minionz
Bluetooth
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7617: Radu Motspan bekerja sama dengan Zero Day Initiative dari Trend Micro, Ian Beer dari Google Project Zero
CoreCapture
Tersedia untuk: macOS Sierra 10.12.1 dan OS X El Capitan v10.11.6
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
CVE-2016-7604: daybreaker dari Minionz
CoreFoundation
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses string berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat memproses string. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-2016-7663: peneliti anonim
CoreGraphics
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
Layar Eksternal CoreMedia
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi lokal mungkin dapat mengeksekusi kode arbitrer dalam konteks daemon mediaserver
Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7655: Keen Lab bekerja sama dengan Zero Day Initiative dari Trend Micro
Pemutaran CoreMedia
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses file .mp4 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7588: dragonltx dari Laboratorium Huawei 2012
CoreStorage
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7603: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro
CoreText
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file font. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-2016-7595: riusksk(泉哥) dari Departemen Platform Keamanan Tencent
CoreText
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses string perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah saat mengubah rentang tumpang tindih diatasi melalui validasi yang disempurnakan.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) dari Digital Unit (dgunit.com)
curl
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna
Deskripsi: Beberapa masalah muncul dalam curl. Masalah tersebut telah diatasi dengan memperbarui curl ke versi 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Directory Services (Direktori Layanan)
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2016-7633: Ian Beer dari Google Project Zero
Gambar Disk
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7616: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro
FontParser
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file font. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-2016-4691: riusksk(泉哥) dari Departemen Platform Keamanan Tencent
Foundation
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Membuka file .gcx perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7618: riusksk(泉哥) dari Departemen Platform Keamanan Tencent
Grapher
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Membuka file .gcx perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7622: riusksk(泉哥) dari Departemen Platform Keamanan Tencent
ICU
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7594: André Bargull
ImageIO
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang jarak jauh dapat membocorkan memori
Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.
CVE-2016-7643: Yangkang (@dnpushme) dari Qihoo360 Qex Team
Driver Intel Graphics
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7602: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro
IOFireWireFamily
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang lokal dapat membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.
CVE-2016-7624: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro
IOHIDFamily
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi lokal dengan hak istimewa sistem mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2016-7591: daybreaker dari Minionz
IOKit
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7657: Keen Lab bekerja sama dengan Zero Day Initiative dari Trend Micro
IOKit
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.
CVE-2016-7625: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro
IOKit
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.
CVE-2016-7714: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro
IOSurface
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menentukan tata letak memori kernel
Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang disempurnakan.
CVE-2016-7620: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2016-7606: @cocoahuke, Chen Qin dari Tim Topsec Alpha (topsec.com)
CVE-2016-7612: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat membaca memori kernel
Deskripsi: Masalah inisialisasi yang tidak memadai telah diatasi dengan menginisialisasi memori yang kembali ke ruang pengguna secara tepat.
CVE-2016-7607: Brandon Azad
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan
Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7615: National Cyber Security Centre (NCSC) Inggris
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat mengakibatkan sistem terhenti tiba-tiba atau eksekusi kode arbitrer di kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2016-7621: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7637: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi lokal dengan hak istimewa sistem mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2016-7644: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-7647: Lufeng Li dari Qihoo 360 Vulcan Team
kext tools
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-7629: @cocoahuke
libarchive
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang lokal mungkin dapat menimpa file yang ada
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi melalui validasi symlink yang ditingkatkan.
CVE-2016-7619: peneliti anonim
LibreSSL
Tersedia untuk: macOS Sierra 10.12.1 dan OS X El Capitan v10.11.6
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah penolakan layanan di perkembangan OCSP tak terbatas telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-6304
OpenLDAP
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptopgrafis RC4
Deskripsi: RC4 dihapus sebagai chiper default.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal tanpa hak istimewa bisa memperoleh akses ke aplikasi istimewa
Deskripsi: Autentikasi PAM dengan aplikasi yang terkena sandbox gagal dengan tidak aman. Masalah ini telah diatasi dengan penanganan kesalahan yang ditingkatkan.
CVE-2016-7600: Perette Barella dari DeviousFish.com
OpenSSL
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer muncul dalam MDC2_Update(). Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-6303
OpenSSL
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan layanan
Deskripsi: Masalah penolakan layanan di perkembangan OCSP tak terbatas telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2016-6304
Manajemen Daya
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar
Deskripsi: Masalah dalam referensi nama port mach telah diatasi melalui validasi yang disempurnakan.
CVE-2016-7661: Ian Beer dari Google Project Zero
Keamanan
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptografis 3DES
Deskripsi: 3DES telah dihapus sebagai chiper default.
CVE-2016-4693: Gaëtan Leurent dan Karthikeyan Bhargavan dari INRIA Paris
Keamanan
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Penyerang dalam posisi jaringan hak istimewa mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Masalah validasi muncul saat menangani URL responden OCSP. Masalah ini telah diatasi dengan memverifikasi status pencabutan OCSP setelah validasi CA dan membatasi jumlah permintaan OCSP per sertifikat.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Keamanan
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Sertifikat mungkin tiba-tiba dievaluasi sebagai terpercaya
Deskripsi: Masalah evaluasi sertifikat muncul dalam validasi sertifikat. Masalah ini telah diatasi melalui validasi sertifikat tambahan.
CVE-2016-7662: Apple
syslog
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar
Deskripsi: Masalah dalam referensi nama port mach telah diatasi melalui validasi yang disempurnakan.
CVE-2016-7660: Ian Beer dari Google Project Zero
Wi-Fi
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Pengguna lokal yang berbahaya dapat melihat informasi konfigurasi jaringan yang sensitif
Deskripsi: Konfigurasi jaringan diatur global secara tidak terduga. Masalah ini telah diatasi dengan memindahkan konfigurasi jaringan yang sensitif ke pengaturan per pengguna.
CVE-2016-7761: Peter Loos, Karlsruhe, Jerman
xar
Tersedia untuk: macOS Sierra 10.12.1
Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Penggunaan variabel yang tidak diinisialisasi telah diatasi melalui validasi yang telah ditingkatkan.
CVE-2016-7742: Gareth Evans, Keamanan Informasi Konteks
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.