Tentang konten keamanan macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite

Dokumen ini menjelaskan tentang konten keamanan macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite.

Tentang pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengkonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite

Dirilis pada 13 Desember 2016

apache_mod_php

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah muncul di PHP sebelum 5.6.26. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7609: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

Aset

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang lokal dapat memodifikasi aset seluler yang diunduh

Deskripsi: Masalah izin muncul di aset seluler. Masalah ini telah diatasi melalui pembatasan akses yang ditingkatkan.

CVE-2016-7628: Marcel Bresink dari Marcel Bresink Software-Systeme

Entri diperbarui 15 Desember 2016

Audio

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7658: Haohao Kong dari Keen Lab (@keen_lab) dari Tencent

CVE-2016-7659: Haohao Kong dari Keen Lab (@keen_lab) dari Tencent

Bluetooth

Tersedia untuk: macOS Sierra 10.12.1, OS X El Capitan v10.11.6, dan OS X Yosemite v10.10.5

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel 

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa, dan Marko Laakso dari Synopsys Software Integrity Group

Entri diperbarui 14 Desember 2016

Bluetooth

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7605: daybreaker dari Minionz

Bluetooth

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7617: Radu Motspan bekerja sama dengan Zero Day Initiative dari Trend Micro, Ian Beer dari Google Project Zero

CoreCapture

Tersedia untuk: macOS Sierra 10.12.1 dan OS X El Capitan v10.11.6

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui pengelolaan kondisi yang ditingkatkan.

CVE-2016-7604: daybreaker dari Minionz

Entri diperbarui 14 Desember 2016

CoreFoundation

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses string berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori terjadi saat memproses string. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

CVE-2016-7663: peneliti anonim

CoreGraphics

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Layar Eksternal CoreMedia

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi lokal dapat mengeksekusi kode arbitrer dalam konteks daemon mediaserver

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7655: Keen Lab bekerja sama dengan Zero Day Initiative dari Trend Micro

Pemutaran CoreMedia

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file .mp4 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7588: dragonltx dari Laboratorium Huawei 2012

CoreStorage

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7603: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreText

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file font. Masalah tersebut telah diatasi melalui pemeriksaan batas-batas yang ditingkatkan.

CVE-2016-7595: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

CoreText

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses string perusak yang berbahaya dapat menyebabkan penolakan sistem layanan

Deskripsi: Masalah saat mengubah rentang tumpang tindih diatasi melalui validasi yang ditingkatkan.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) dari Digital Unit (dgunit.com)

Entri ditambahkan pada 15 Desember 2016

curl

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Beberapa masalah muncul dalam curl. Masalah tersebut telah diatasi dengan memperbarui curl ke versi 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Layanan Direktori

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2016-7633: Ian Beer dari Google Project Zero

Image Disk

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7616: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

FontParser

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file font. Masalah tersebut telah diatasi melalui pemeriksaan batas-batas yang ditingkatkan.

CVE-2016-4691: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

Foundation

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Membuka file .gcx perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7618: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

Grapher

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Membuka file .gcx perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7622: riusksk(泉哥) dari Departemen Platform Keamanan Tencent

ICU

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7594: André Bargull

ImageIO

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.

CVE-2016-7643: Yangkang (@dnpushme) dari Qihoo360 Qex Team

Driver Intel Graphics

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel 

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7602: daybreaker@Minionz bekerja sama dengan Zero Day Initiative dari Trend Micro

IOFireWireFamily

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang lokal dapat membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7624: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOHIDFamily

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi lokal dengan hak istimewa sistem mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2016-7591: daybreaker dari Minionz

IOKit

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi dapat membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7657: Keen Lab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOKit

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7625: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

IOKit

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7714: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 25 Januari 2017

IOSurface

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menentukan tata letak memori kernel

Deskripsi: Masalah memori bersama telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7620: Qidan He (@flanker_hqd) dari KeenLab bekerja sama dengan Zero Day Initiative dari Trend Micro

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel 

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7606: @cocoahuke, Chen Qin dari Tim Topsec Alpha (topsec.com)

CVE-2016-7612: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi dapat membaca memori kernel

Deskripsi: Masalah inisialisasi yang tidak memadai telah diatasi dengan menginisialisasi memori yang kembali ke ruang pengguna secara tepat.

CVE-2016-7607: Brandon Azad

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan penolakan sistem layanan

Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7615: National Cyber Security Centre (NCSC) Inggris

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat menyebabkan sistem berhenti tiba-tiba atau eksekusi kode arbitrer di kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2016-7621: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7637: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi lokal dengan hak istimewa sistem mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2016-7644: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-7647: Lufeng Li dari Qihoo 360 Vulcan Team

Entri ditambahkan tanggal 17 Mei 2017

kext tools

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel 

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-7629: @cocoahuke

libarchive

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang lokal mungkin dapat menimpa file yang ada

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi melalui validasi symlink yang ditingkatkan.

CVE-2016-7619: peneliti anonim

LibreSSL

Tersedia untuk: macOS Sierra 10.12.1 dan OS X El Capitan v10.11.6

Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan di perkembangan OCSP tak terbatas telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-6304

Entri diperbarui 14 Desember 2016

OpenLDAP

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptopgrafis RC4

Deskripsi: RC4 dihapus sebagai chiper default.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal tanpa hak istimewa bisa memperoleh akses ke aplikasi istimewa

Deskripsi: Autentikasi PAM dengan aplikasi yang terkena sandbox gagal dengan tidak aman. Masalah ini telah diatasi dengan penanganan kesalahan yang ditingkatkan.

CVE-2016-7600: Perette Barella dari DeviousFish.com

OpenSSL

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer muncul dalam MDC2_Update(). Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-6303

OpenSSL

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah penolakan layanan di perkembangan OCSP tak terbatas telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2016-6304

Manajemen Daya

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah dalam referensi nama port mach telah diatasi melalui validasi yang ditingkatkan.

CVE-2016-7661: Ian Beer dari Google Project Zero

Keamanan

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptopgrafis 3DES

Deskripsi: 3DES dihapus sebagai chiper default.

CVE-2016-4693: Gaëtan Leurent dan Karthikeyan Bhargavan dari INRIA Paris

Keamanan

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Penyerang dengan posisi jaringan hak istimewa dapat menyebabkan penolakan layanan

Deskripsi: Masalah validasi muncul saat menangani URL responden OCSP. Masalah ini telah diatasi dengan memverifikasi status pencabutan OCSP setelah validasi CA dan membatasi permintaan OCSP per sertifikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Keamanan

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Sertifikat tiba-tiba dievaluasi sebagai terpercaya

Deskripsi: Masalah evaluasi sertifikat muncul dalam validasi sertifikat. Masalah ini telah diatasi melalui validasi tambahan untuk sertifikat.

CVE-2016-7662: Apple

syslog

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal dapat memperoleh hak istimewa dasar

Deskripsi: Masalah dalam referensi nama port mach telah diatasi melalui validasi yang ditingkatkan.

CVE-2016-7660: Ian Beer dari Google Project Zero

WiFi

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Pengguna lokal yang berbahaya dapat melihat informasi konfigurasi jaringan yang sensitif

Deskripsi: Konfigurasi jaringan diatur global secara tidak terduga. Masalah ini telah diatasi dengan memindahkan konfigurasi jaringan yang sensitif ke pengaturan per pengguna.

CVE-2016-7761: Peter Loos, Karlsruhe, Jerman

Entri ditambahkan pada 24 Januari 2017

xar

Tersedia untuk: macOS Sierra 10.12.1

Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Penggunaan variabel yang tidak diinisialisasi telah diatasi melalui validasi yang telah ditingkatkan.

CVE-2016-7742: Gareth Evans, Keamanan Informasi Konteks

Entri ditambahkan pada 10 Januari 2017

macOS Sierra 10.12.2, Pembaruan Keamanan 2016-003 El Capitan, dan Pembaruan Keamanan 2016-007 Yosemite mencakup konten keamanan Safari 10.0.2.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: