Tentang konten keamanan macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite

Dokumen ini menjelaskan konten keamanan macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite.

Tentang pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengkonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite

Dirilis tanggal 27 Maret 2017

apache

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

Deskripsi: Beberapa masalah muncul dalam Apache versi sebelum 2.4.25. Masalah ini telah diatasi dengan memperbarui Apache ke versi 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Entri diperbarui tanggal 28 Maret 2017

apache_mod_php

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Beberapa masalah muncul dalam PHP versi sebelum 5.6.30

Deskripsi: Beberapa masalah muncul dalam PHP versi sebelum 5.6.30. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2421: @cocoahuke

AppleRAID

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2438: sss dan Axis dari 360Nirvanteam

Audio

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2430: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2017-2462: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

Bluetooth

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa, dan Marko Laakso dari Synopsys Software Integrity Group

Bluetooth

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-2427: Axis dan sss dari Qihoo 360 Nirvan Team

Bluetooth

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2449: sss dan Axis dari 360NirvanTeam

Carbon

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

CVE-2017-2379: riusksk (泉哥) dari Departemen Platform Keamanan Tencent, John Villamil, Doyensec

CoreGraphics

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Rekursi tak terhingga telah diatasi melalui pengelolaan kondisi yang lebih baik.

CVE-2017-2417: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

CoreMedia

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses file .mov perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori muncul saat menangani file .mov. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2017-2431: kimyok dari Departemen Platform Keamanan Tencent

CoreText

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses pesan teks perusak yang berbahaya dapat mengakibatkan penolakan layanan aplikasi

Deskripsi: Masalah kehabisan sumber daya diatasi melalui validasi input yang lebih baik.

CVE-2017-2461: Isaac Archambault dari IDAoADI, peneliti anonim

curl

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Input pengguna perusak yang berbahaya ke API libcurl dapat mengizinkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

CVE-2016-9586: Daniel Stenberg dari Mozilla

EFI

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Adaptor Thunderbolt berbahaya dapat memulihkan kata sandi enkripsi FileVault 2

Deskripsi: Masalah muncul saat menangani DMA. Masalah ini telah diatasi dengan mengaktifkan VT-d dalam EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Izin dapat tiba-tiba diatur ulang saat mengirimkan tautan

Deskripsi: Masalah izin muncul saat menangani fitur Kirim Tautan dari Berbagi iCloud. Masalah ini telah diatasi melalui kontrol izin yang lebih baik.

CVE-2017-2429: Raymond Wong DO dari Arnot Ogden Medical Center

Entri diperbarui pada 23 Agustus 2017

FontParser

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2487: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

CVE-2017-2406: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

FontParser

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Menguraikan file font perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2407: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

FontParser

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Tersedia untuk: OS X El Capitan v10.11.6 dan OS X Yosemite v10.10.5

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer 

Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

CVE-2016-4688: Simon Huang dari perusahaan Alipay

Entri ditambahkan tanggal 11 April 2017

HTTPProtocol

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Server HTTP/2 berbahaya mungkin dapat menyebabkan perilaku yang tidak ditentukan

Deskripsi: Beberapa masalah muncul di nghttp2 sebelum 1.17.0. Masalah ini telah diatasi dengan memperbarui nghttp2 ke versi 1.17.0.

CVE-2017-2428

Entri diperbarui tanggal 28 Maret 2017

Hypervisor

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang menggunakan kerangka kerja Hypervisor dapat membocorkan pendaftaran kontrol CR8 secara tiba-tiba antara tamu dan host

Deskripsi: Masalah pembocoran informasi telah diatasi melalui pengelolaan status yang lebih baik.

CVE-2017-2418: Alex Fishman dan Izik Eidus dari Veertu Inc.

iBooks

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Menguraikan file iBooks perusak yang berbahaya dapat mengakibatkan pengungkapan file lokal

Deskripsi: Kebocoran informasi terjadi saat menangani URL file. Masalah ini telah diatasi melalui peningkatan penanganan URL.

CVE-2017-2426: Craig Arendt dari Keamanan Stratum, Jun Kokatsu (@shhnjk)

ImageIO

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) dari KeenLab, Tencent

ImageIO

Tersedia untuk: macOS Sierra 10.12.3, OS X El Capitan v10.11.6, dan OS X Yosemite v10.10.5

Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2432: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2467

ImageIO

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga

Deskripsi: Pembacaan di luar batas muncul pada versi LibTIFF sebelum 4.0.7. Masalah ini telah diatasi dengan memperbarui LibTIFF di ImageIO ke versi 4.0.7.

CVE-2016-3619

Driver Intel Graphics

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel 

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-2443: Ian Beer dari Google Project Zero

Driver Intel Graphics

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengungkapkan memori kernel

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang lebih baik.

CVE-2017-2489: Ian Beer dari Google Project Zero

Entri ditambahkan pada 31 Maret 2017

IOATAFamily

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-2408: Yangkang (@dnpushme) dari Qihoo360 Qex Team

IOFireWireAVC

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2436: Orr A, Keamanan IBM

IOFireWireAVC

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Penyerang lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) dari Keamanan Blue Frost

IOFireWireFamily

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-2388: Brandon Azad, peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2398: Lufeng Li dari Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li dari Qihoo 360 Vulcan Team

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah validasi input muncul di kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-2410: Apple

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2440: peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Kondisi pacu telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2456: lokihardt dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2472: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2473: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah yang disebabkan oleh banyak kondisi (off-by-one) telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

CVE-2017-2474: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi melalui penguncian yang lebih baik.

CVE-2017-2478: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2482: Ian Beer dari Google Project Zero

CVE-2017-2483: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2490: Ian Beer dari Google Project Zero, National Cyber Security Centre (NCSC) di UK

Entri ditambahkan pada 31 Maret 2017

Kernel

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Layar dapat tiba-tiba tidak terkunci saat penutupnya ditutup.

Deskripsi: Masalah penguncian yang tidak memadai telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2017-7070: Ed McKenzie

Entri ditambahkan pada 10 Agustus 2017

Papan Ketik

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

CVE-2017-2458: Shashank (@cyberboyIndia)

Rantai Kunci

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Penyerang yang dapat mencegat koneksi TLS mungkin dapat membaca rahasia yang dilindungi oleh Rantai Kunci iCloud.

Deskripsi: Pada kondisi tertentu, Rantai Kunci iCloud gagal memvalidasi keaslian paket OTR. Masalah ini telah diatasi dengan validasi yang lebih baik.

CVE-2017-2448: Alex Radocea dari Longterm Security, Inc.

Entri diperbarui tanggal 30 Maret 2017

libarchive

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Penyerang lokal mungkin dapat mengubah izin sistem file di direktori arbitrer

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi melalui validasi symlink yang lebih baik.

CVE-2017-2390: Omer Medan dari enSilo Ltd

libc++abi

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Melakukan demangling aplikasi C++ yang berbahaya dapat menyebabkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2441

LibreSSL

Tersedia untuk: macOS Sierra 10.12.3 dan OS X El Capitan v10.11.6

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Saluran sisi waktu memungkinkan penyerang memulihkan kunci. Masalah ini telah diatasi dengan melakukan penghitungan waktu konstan.

CVE-2016-7056: Cesar Pereida García dan Billy Brumley (Tampere University of Technology)

libxslt

Tersedia untuk: OS X El Capitan v10.11.6

Dampak: Beberapa kerentanan dalam libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-2477

Entri ditambahkan pada 30 Maret 2017

libxslt

Tersedia untuk: macOS Sierra 10.12.3, OS X El Capitan v10.11.6, dan Yosemite v10.10.5

Dampak: Beberapa kerentanan dalam libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-5029: Holger Fuhrmannek

Entri ditambahkan pada 28 Maret 2017

MCX Client

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Menghapus profil konfigurasi dengan beberapa muatan mungkin tidak dapat menghapus kepercayaan sertifikat Active Directory

Deskripsi: Masalah terjadi pada pencopotan profil. Masalah ini telah diatasi melalui pembersihan yang ditingkatkan.

CVE-2017-2402: peneliti anonim

Menu

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengungkapkan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-2422: @cocoahuke

OpenSSH

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Beberapa masalah di OpenSSH

Deskripsi: Beberapa masalah muncul di OpenSSH versi sebelum 7.4. Masalah ini telah diatasi dengan memperbarui OpenSSH ke versi 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah saluran sisi waktu telah diatasi dengan menggunakan penghitungan waktu konstan.

CVE-2016-7056: Cesar Pereida García dan Billy Brumley (Tampere University of Technology)

Pencetakan

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Mengeklik tautan IPP(S) berbahaya dapat menyebabkan eksekusi kode arbitrer

Deskripsi: Masalah string format yang tidak dikontrol telah diatasi melalui peningkatan validasi input.

CVE-2017-2403: beist dari GrayHash

python

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses arsip zip perusak yang berbahaya dengan Python menyebabkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori terjadi saat menangani arsip zip. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-5636

QuickTime

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Menampilkan file media perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori muncul di QuickTime. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-2413: Simon Huang(@HuangShaomang) dan pjf dari IceSword Lab Qihoo 360

Keamanan

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memvalidasi tanda tangan kosong dengan SecKeyRawVerify() dapat berhasil secara tidak terduga

Deskripsi: Masalah validasi muncul pada panggilan API kriptografis. Masalah ini telah diatasi melalui validasi parameter yang lebih baik.

CVE-2017-2423: peneliti anonim

Keamanan

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan pembatasan yang lebih baik.

CVE-2017-2451: Alex Radocea dari Longterm Security, Inc.

Keamanan

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses sertifikat x509 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori muncul saat menguraikan sertifikat. Masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2485: Aleksandar Nikolic dari Cisco Talos

SecurityFoundation

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah pengosongan ganda telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2425: kimyok dari Departemen Platform Keamanan Tencent

sudo

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Pengguna di grup bernama "admin" pada server direktori jaringan mungkin dapat meningkatkan hak istimewa menggunakan sudo secara tak terduga

Deskripsi: Masalah akses muncul di sudo. Masalah ini telah diatasi melalui pemeriksaan izin yang lebih baik.

CVE-2017-2381

Perlindungan Integritas Sistem

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Aplikasi berbahaya mungkin dapat mengubah lokasi disk yang dilindungi

Deskripsi: Masalah validasi muncul saat menangani instalasi sistem. Masalah ini telah diatasi melalui peningkatan penanganan dan validasi selama proses instalasi.

CVE-2017-6974: Patrick Wardle dari Synack

tcpdump

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengeksekusi kode arbitrer dengan bantuan pengguna

Deskripsi: Beberapa masalah muncul di tcpdump versi sebelum 4.9.0. Masalah ini telah diatasi dengan memperbarui tcpdump ke versi 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Tersedia untuk: macOS Sierra 10.12.3

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga

Deskripsi: Pembacaan di luar batas terjadi di LibTIFF versi sebelum 4.0.7. Masalah ini telah diatasi dengan memperbarui LibTIFF pada AKCmds ke versi 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite mencakup konten keamanan Safari 10.1.

Penghargaan tambahan

XNU

Kami ingin berterima kasih pada Lufeng Li dari Qihoo 360 Vulcan Team atas bantuannya.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: