Tentang konten keamanan macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite
Dokumen ini menjelaskan konten keamanan macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite.
Tentang pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengkonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.
macOS Sierra 10.12.4, Pembaruan Keamanan 2017-001 El Capitan, dan Pembaruan Keamanan 2017-001 Yosemite
apache
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Deskripsi: Beberapa masalah muncul dalam Apache versi sebelum 2.4.25. Masalah ini telah diatasi dengan memperbarui Apache ke versi 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
apache_mod_php
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Beberapa masalah muncul dalam PHP versi sebelum 5.6.30
Deskripsi: Beberapa masalah muncul dalam PHP versi sebelum 5.6.30. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.6.30.
CVE-2016-10158
CVE-2016-10159
CVE-2016-10160
CVE-2016-10161
CVE-2016-9935
AppleGraphicsPowerManagement
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2421: @cocoahuke
AppleRAID
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2438: sss dan Axis dari 360Nirvanteam
Audio
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2430: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2017-2462: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
Bluetooth
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa, dan Marko Laakso dari Synopsys Software Integrity Group
Bluetooth
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-2427: Axis dan sss dari Qihoo 360 Nirvan Team
Bluetooth
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2449: sss dan Axis dari 360NirvanTeam
Carbon
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-2017-2379: riusksk (泉哥) dari Departemen Platform Keamanan Tencent, John Villamil, Doyensec
CoreGraphics
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Rekursi tak terhingga telah diatasi melalui pengelolaan kondisi yang lebih baik.
CVE-2017-2417: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
CoreMedia
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses file .mov perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat menangani file .mov. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-2017-2431: kimyok dari Departemen Platform Keamanan Tencent
CoreText
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses pesan teks perusak yang berbahaya dapat mengakibatkan penolakan layanan aplikasi
Deskripsi: Masalah kehabisan sumber daya diatasi melalui validasi input yang lebih baik.
CVE-2017-2461: Isaac Archambault dari IDAoADI, peneliti anonim
curl
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Input pengguna perusak yang berbahaya ke API libcurl dapat mengizinkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-2016-9586: Daniel Stenberg dari Mozilla
EFI
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Adaptor Thunderbolt berbahaya dapat memulihkan kata sandi enkripsi FileVault 2
Deskripsi: Masalah muncul saat menangani DMA. Masalah ini telah diatasi dengan mengaktifkan VT-d dalam EFI.
CVE-2016-7585: Ulf Frisk (@UlfFrisk)
FinderKit
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Izin dapat tiba-tiba diatur ulang saat mengirimkan tautan
Deskripsi: Masalah izin muncul saat menangani fitur Kirim Tautan dari Berbagi iCloud. Masalah ini telah diatasi melalui kontrol izin yang lebih baik.
CVE-2017-2429: Raymond Wong DO dari Arnot Ogden Medical Center
FontParser
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2487: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
CVE-2017-2406: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
FontParser
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Menguraikan file font perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2407: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
FontParser
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2439: John Villamil, Doyensec
FontParser
Tersedia untuk: OS X El Capitan v10.11.6 dan OS X Yosemite v10.10.5
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer muncul saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-2016-4688: Simon Huang dari perusahaan Alipay
HTTPProtocol
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Server HTTP/2 berbahaya mungkin dapat menyebabkan perilaku yang tidak ditentukan
Deskripsi: Beberapa masalah muncul di nghttp2 sebelum 1.17.0. Masalah ini telah diatasi dengan memperbarui nghttp2 ke versi 1.17.0.
CVE-2017-2428
Hypervisor
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang menggunakan kerangka kerja Hypervisor dapat membocorkan pendaftaran kontrol CR8 secara tiba-tiba antara tamu dan host
Deskripsi: Masalah pembocoran informasi telah diatasi melalui pengelolaan status yang lebih baik.
CVE-2017-2418: Alex Fishman dan Izik Eidus dari Veertu Inc.
iBooks
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Menguraikan file iBooks perusak yang berbahaya dapat mengakibatkan pengungkapan file lokal
Deskripsi: Kebocoran informasi terjadi saat menangani URL file. Masalah ini telah diatasi melalui peningkatan penanganan URL.
CVE-2017-2426: Craig Arendt dari Keamanan Stratum, Jun Kokatsu (@shhnjk)
ImageIO
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) dari KeenLab, Tencent
ImageIO
Tersedia untuk: macOS Sierra 10.12.3, OS X El Capitan v10.11.6, dan OS X Yosemite v10.10.5
Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2432: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2467
ImageIO
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga
Deskripsi: Pembacaan di luar batas muncul pada versi LibTIFF sebelum 4.0.7. Masalah ini telah diatasi dengan memperbarui LibTIFF di ImageIO ke versi 4.0.7.
CVE-2016-3619
Driver Intel Graphics
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-2443: Ian Beer dari Google Project Zero
Driver Intel Graphics
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang lebih baik.
CVE-2017-2489: Ian Beer dari Google Project Zero
IOATAFamily
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-2408: Yangkang (@dnpushme) dari Qihoo360 Qex Team
IOFireWireAVC
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2436: Orr A, Keamanan IBM
IOFireWireAVC
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Penyerang lokal dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-2437: Benjamin Gnahm (@mitp0sh) dari Keamanan Blue Frost
IOFireWireFamily
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengakibatkan penolakan layanan
Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-2388: Brandon Azad, peneliti anonim
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2398: Lufeng Li dari Qihoo 360 Vulcan Team
CVE-2017-2401: Lufeng Li dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah validasi input muncul di kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-2410: Apple
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2440: peneliti anonim
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Kondisi pacu telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2456: lokihardt dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2472: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2473: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah yang disebabkan oleh banyak kondisi (off-by-one) telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-2017-2474: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi melalui penguncian yang lebih baik.
CVE-2017-2478: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2482: Ian Beer dari Google Project Zero
CVE-2017-2483: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2490: Ian Beer dari Google Project Zero, National Cyber Security Centre (NCSC) di UK
Kernel
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Layar dapat tiba-tiba tidak terkunci saat penutupnya ditutup.
Deskripsi: Masalah penguncian yang tidak memadai telah diatasi dengan pengelolaan kondisi yang lebih baik.
CVE-2017-7070: Ed McKenzie
Papan Ketik
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-2017-2458: Shashank (@cyberboyIndia)
Rantai Kunci
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Penyerang yang dapat mencegat koneksi TLS mungkin dapat membaca rahasia yang dilindungi oleh Rantai Kunci iCloud.
Deskripsi: Pada kondisi tertentu, Rantai Kunci iCloud gagal memvalidasi keaslian paket OTR. Masalah ini telah diatasi dengan validasi yang lebih baik.
CVE-2017-2448: Alex Radocea dari Longterm Security, Inc.
libarchive
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Penyerang lokal mungkin dapat mengubah izin sistem file di direktori arbitrer
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi melalui validasi symlink yang lebih baik.
CVE-2017-2390: Omer Medan dari enSilo Ltd
libc++abi
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Melakukan demangling aplikasi C++ yang berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2441
LibreSSL
Tersedia untuk: macOS Sierra 10.12.3 dan OS X El Capitan v10.11.6
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Saluran sisi waktu memungkinkan penyerang memulihkan kunci. Masalah ini telah diatasi dengan melakukan penghitungan waktu konstan.
CVE-2016-7056: Cesar Pereida García dan Billy Brumley (Tampere University of Technology)
libxslt
Tersedia untuk: OS X El Capitan v10.11.6
Dampak: Beberapa kerentanan dalam libxslt
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-2477
libxslt
Tersedia untuk: macOS Sierra 10.12.3, OS X El Capitan v10.11.6, dan Yosemite v10.10.5
Dampak: Beberapa kerentanan dalam libxslt
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-5029: Holger Fuhrmannek
MCX Client
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Menghapus profil konfigurasi dengan beberapa muatan mungkin tidak dapat menghapus kepercayaan sertifikat Active Directory
Deskripsi: Masalah terjadi pada pencopotan profil. Masalah ini telah diatasi melalui pembersihan yang ditingkatkan.
CVE-2017-2402: peneliti anonim
Menu
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengungkapkan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2017-2409: Sergey Bylokhov
Multi-Touch
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-2422: @cocoahuke
OpenSSH
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Beberapa masalah di OpenSSH
Deskripsi: Beberapa masalah muncul di OpenSSH versi sebelum 7.4. Masalah ini telah diatasi dengan memperbarui OpenSSH ke versi 7.4.
CVE-2016-10009
CVE-2016-10010
CVE-2016-10011
CVE-2016-10012
OpenSSL
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah saluran sisi waktu telah diatasi dengan menggunakan penghitungan waktu konstan.
CVE-2016-7056: Cesar Pereida García dan Billy Brumley (Tampere University of Technology)
Pencetakan
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Mengeklik tautan IPP(S) berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah string format yang tidak dikontrol telah diatasi melalui peningkatan validasi input.
CVE-2017-2403: beist dari GrayHash
python
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses arsip zip perusak yang berbahaya dengan Python menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi saat menangani arsip zip. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-2016-5636
QuickTime
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Menampilkan file media perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul di QuickTime. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2017-2413: Simon Huang(@HuangShaomang) dan pjf dari IceSword Lab Qihoo 360
Keamanan
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memvalidasi tanda tangan kosong dengan SecKeyRawVerify() dapat berhasil secara tidak terduga
Deskripsi: Masalah validasi muncul pada panggilan API kriptografis. Masalah ini telah diatasi melalui validasi parameter yang lebih baik.
CVE-2017-2423: peneliti anonim
Keamanan
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan pembatasan yang lebih baik.
CVE-2017-2451: Alex Radocea dari Longterm Security, Inc.
Keamanan
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses sertifikat x509 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat menguraikan sertifikat. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2485: Aleksandar Nikolic dari Cisco Talos
SecurityFoundation
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses sertifikat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah pengosongan ganda telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2425: kimyok dari Departemen Platform Keamanan Tencent
sudo
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Pengguna di grup bernama "admin" pada server direktori jaringan mungkin dapat meningkatkan hak istimewa menggunakan sudo secara tak terduga
Deskripsi: Masalah akses muncul di sudo. Masalah ini telah diatasi melalui pemeriksaan izin yang lebih baik.
CVE-2017-2381
Perlindungan Integritas Sistem
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Aplikasi berbahaya mungkin dapat mengubah lokasi disk yang dilindungi
Deskripsi: Masalah validasi muncul saat menangani instalasi sistem. Masalah ini telah diatasi melalui peningkatan penanganan dan validasi selama proses instalasi.
CVE-2017-6974: Patrick Wardle dari Synack
tcpdump
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengeksekusi kode arbitrer dengan bantuan pengguna
Deskripsi: Beberapa masalah muncul di tcpdump versi sebelum 4.9.0. Masalah ini telah diatasi dengan memperbarui tcpdump ke versi 4.9.0.
CVE-2016-7922
CVE-2016-7923
CVE-2016-7924
CVE-2016-7925
CVE-2016-7926
CVE-2016-7927
CVE-2016-7928
CVE-2016-7929
CVE-2016-7930
CVE-2016-7931
CVE-2016-7932
CVE-2016-7933
CVE-2016-7934
CVE-2016-7935
CVE-2016-7936
CVE-2016-7937
CVE-2016-7938
CVE-2016-7939
CVE-2016-7940
CVE-2016-7973
CVE-2016-7974
CVE-2016-7975
CVE-2016-7983
CVE-2016-7984
CVE-2016-7985
CVE-2016-7986
CVE-2016-7992
CVE-2016-7993
CVE-2016-8574
CVE-2016-8575
CVE-2017-5202
CVE-2017-5203
CVE-2017-5204
CVE-2017-5205
CVE-2017-5341
CVE-2017-5342
CVE-2017-5482
CVE-2017-5483
CVE-2017-5484
CVE-2017-5485
CVE-2017-5486
tiffutil
Tersedia untuk: macOS Sierra 10.12.3
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan aplikasi berhenti secara tidak terduga
Deskripsi: Pembacaan di luar batas terjadi di LibTIFF versi sebelum 4.0.7. Masalah ini telah diatasi dengan memperbarui LibTIFF pada AKCmds ke versi 4.0.7.
CVE-2016-3619
CVE-2016-9533
CVE-2016-9535
CVE-2016-9536
CVE-2016-9537
CVE-2016-9538
CVE-2016-9539
CVE-2016-9540
Penghargaan tambahan
XNU
Kami ingin berterima kasih pada Lufeng Li dari Qihoo 360 Vulcan Team atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.