Mengenai konten keamanan macOS High Sierra 10.13.1, Pembaruan Keamanan 2017-001 Sierra, dan Pembaruan Keamanan 2017-004 El Capitan

Dokumen ini menjelaskan mengenai konten keamanan macOS High Sierra 10.13.1, Pembaruan Keamanan 2017-001 Sierra, dan Pembaruan Keamanan 2017-004 El Capitan.

Tentang pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengkonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

macOS High Sierra 10.13.1, Pembaruan Keamanan 2017-001 Sierra, dan Pembaruan Keamanan 2017-004 El Capitan

Dirilis pada 31 Oktober 2017

802.1X

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam TLS 1.0

Deskripsi: Masalah keamanan protokol diatasi dengan mengaktifkan TLS 1.1 dan TLS 1.2.

CVE-2017-13832: peneliti anonim

apache

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di Apache

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 2.4.27.

CVE-2016-736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

APFS

Tersedia untuk: macOS High Sierra 10.13

Dampak: Adaptor Thunderbolt jahat mungkin dapat memulihkan data sistem file APFS yang tidak dienkripsi

Deskripsi: Masalah muncul saat menangani DMA. Masalah ini telah diatasi dengan membatasi durasi buffer dekripsi FileVault saat dipetakan DMA menjadi durasi operasi I/O.

CVE-2017-13786: peneliti anonim

APFS

Tersedia untuk: macOS High Sierra 10.13

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13800: Sergej Schumilo dari Ruhr-University Bochum

AppleScript

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Mendekompilasi AppleScript dengan osadecompile mungkin mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2017-13809: peneliti anonim, peneliti anonim

ATS

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang lebih baik.

CVE-2017-13820: John Villamil, Doyensec

Audio

Tersedia untuk: macOS Sierra 10.12.6

Dampak: Menguraikan file QuickTime perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-13807: Yangkang (@dnpushme) dari Qihoo 360 Qex Team

CFString

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreText

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

curl

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Menggunggah dengan TFTP ke URL dengan libcurl perusak yang berbahaya dapat mengungkap memori aplikasi

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2017-1000100: Even Rouault, ditemukan oleh OSS-Fuzz

curl

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses URL dengan libcurl perusak yang berbahaya dapat mengakibatkan penutupan aplikasi secara tidak terduga atau pembacaan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Widget Kamus

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Mencari teks yang ditempel di widget Kamus dapat mengakibatkan terancamnya informasi pengguna

Deskripsi: Masalah validasi muncul yang memungkinkan akses file lokal. Masalah ini telah diatasi dengan sanitasi input.

CVE-2017-13801: xisigr dari Tencent's Xuanwu Lab (tencent.com)

file

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di file

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 5.31.

CVE-2017-13815

Fonts (Fon)

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Merender teks tidak dipercaya dapat mengakibatkan pengelabuan

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2017-13828: peneliti anonim

fsck_msdos

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13811: peneliti anonim

HFS

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13830: Sergej Schumilo dari Ruhr-University Bochum

Heimdal

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat meniru layanan

Deskripsi: Masalah validasi muncul saat menangani nama layanan KDC-REP. Masalah ini telah diatasi dengan validasi yang ditingkatkan

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni, dan Nico Williams

HelpViewer

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: File HTML yang dikarantina mungkin mengeksekusi lintas asal JavaScript arbitrer

Deskripsi: Masalah skrip lintas situs muncul di HelpViewer. Masalah ini telah diatasi dengan menghapus file yang terpengaruh.

CVE-2017-13819: peneliti anonim

ImageIO

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan

Penjelasan: Masalah pengungkapan informasi terjadi saat memproses image disk. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2017-13831: peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah izin muncul dalam penghitung paket kernel. Masalah ini telah diatasi melalui validasi izin yang ditingkatkan.

CVE-2017-13810: peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Muncul masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2017-13818: National Cyber Security Centre (NCSC) Inggris

CVE-2017-13836: peneliti anonim, peneliti anonim

CVE-2017-13841: peneliti anonim

CVE-2017-13840: peneliti anonim

CVE-2017-13842: peneliti anonim

CVE-2017-13782: peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13843: peneliti anonim, peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.6

Dampak: Memproses paket perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi yang ditingkatkan.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kernel

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13799: peneliti anonim

libarchive

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-13813: ditemukan oleh OSS-Fuzz

CVE-2017-13816: ditemukan oleh OSS-Fuzz

libarchive

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori muncul di libarchive. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2017-13812: ditemukan oleh OSS-Fuzz

libarchive

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2016-4736: peneliti anonim

Arsitektur Skripting Terbuka

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Mendekompilasi AppleScript dengan osadecompile mungkin mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13824: peneliti anonim

PCRE

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di pcre

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 8.40.

CVE-2017-13846

Postfix

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di Postfix

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 3.2.2.

CVE-2017-13826: peneliti anonim

Lihat Cepat

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Lihat Cepat

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Menguraikan dokumen kantor perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

QuickTime

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2017-13823: peneliti anonim

Manajemen Jarak Jauh

Tersedia untuk: macOS Sierra 10.12.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13808: peneliti anonim

Sandbox

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13838: peneliti anonim

StreamingZip

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: file zip yang jahat mungkin dapat memodifikasi area terbatas pada sistem file

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2017-13804: @qwertyoruiopz pada KJC Research Intl. S.R.L.

tcpdump

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6

Dampak: Beberapa masalah di tcpdump

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Penyerang dalam jangkauan Wi-Fi dapat memaksakan penggunaan ulang nonce di klien WPA (Key Reinstallation Attacks - KRACK)

Deskripsi: Masalah logika muncul saat menangani transisi kondisi. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2017-13077: Mathy Vanhoef dari grup imec-DistriNet di KU Leuven

CVE-2017-13078: Mathy Vanhoef dari grup imec-DistriNet di KU Leuven

CVE-2017-13080: Mathy Vanhoef dari grup imec-DistriNet di KU Leuven

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: