Mengenai konten keamanan macOS High Sierra 10.13.1, Pembaruan Keamanan 2017-001 Sierra, dan Pembaruan Keamanan 2017-004 El Capitan

Dokumen ini menjelaskan mengenai konten keamanan macOS High Sierra 10.13.1, Pembaruan Keamanan 2017-001 Sierra, dan Pembaruan Keamanan 2017-004 El Capitan.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

macOS High Sierra 10.13.1, Pembaruan Keamanan 2017-001 Sierra, dan Pembaruan Keamanan 2017-004 El Capitan

Dirilis 31 Oktober 2017

802.1X

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan di TLS 1.0

Deskripsi: Masalah keamanan protokol ditangani dengan mengaktifkan TLS 1.1 dan TLS 1.2.

CVE-2017-13832: Doug Wussler dari Florida State University

Entri diperbarui pada 10 November 2017

apache

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di Apache

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Entri diperbarui pada 14 November 2017

APFS

Tersedia untuk: macOS High Sierra 10.13

Dampak: Adaptor Thunderbolt berbahaya mungkin dapat memulihkan data sistem file APFS yang tidak dienkripsi

Deskripsi: Masalah muncul saat menangani DMA. Masalah ini telah diatasi dengan membatasi durasi buffer dekripsi FileVault saat dipetakan DMA menjadi durasi operasi I/O.

CVE-2017-13786: Dmytro Oleksiuk

Entri diperbarui pada 10 November 2017

APFS

Tersedia untuk: macOS High Sierra 10.13

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13800: Sergej Schumilo dari Ruhr-University Bochum

AppleScript

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Mendekompilasi AppleScript dengan osadecompile mungkin mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang disempurnakan.

CVE-2017-13809: bat0s

Entri diperbarui pada 10 November 2017

ATS

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses font perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2017-13820: John Villamil, Doyensec

Audio

Tersedia untuk: macOS Sierra 10.12.6

Dampak: Menguraikan file QuickTime perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-13807: Yangkang (@dnpushme) dari Qihoo 360 Qex Team

CFNetwork

Tersedia untuk: OS X El Capitan 10.11.6 dan macOS Sierra 10.12.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13829: Niklas Baumstark dan Samuel Gro yang bekerja sama dengan Zero Day Initiative dari Trend Micro 

CVE-2017-13833: Niklas Baumstark dan Samuel Gro yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 10 November 2017

CFString

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreText

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

curl

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: Menggunggah dengan TFTP ke URL dengan libcurl perusak yang berbahaya dapat mengungkap memori aplikasi

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2017-1000100: Even Rouault, ditemukan oleh OSS-Fuzz

curl

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: Memproses URL dengan libcurl perusak yang berbahaya dapat mengakibatkan penutupan aplikasi secara tidak terduga atau pembacaan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Widget Kamus

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: Mencari teks yang ditempel di widget Kamus dapat mengakibatkan terancamnya informasi pengguna

Deskripsi: Masalah validasi muncul yang memungkinkan akses file lokal. Masalah ini telah diatasi dengan sanitasi input.

CVE-2017-13801: xisigr dari Xuanwu Lab Tencent (tencent.com)

file

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di file

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 5.31.

CVE-2017-13815

Fonts (Fon)

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Merender teks yang tidak dipercaya dapat mengakibatkan pemalsuan

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2017-13828: Leonard Grey dan Robert Sesek dari Google Chrome

Entri diperbarui pada 10 November 2017

fsck_msdos

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13811: V.E.O (@VYSEa) di Mobile Advanced Threat Team dari Trend Micro

Entri diperbarui pada 2 November 2017

HFS

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13830: Sergej Schumilo dari Ruhr-University Bochum

Heimdal

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat meniru layanan

Deskripsi: Masalah validasi muncul saat menangani nama layanan KDC-REP. Masalah ini telah diatasi dengan validasi yang ditingkatkan

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni, dan Nico Williams

Help Viewer

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: File HTML yang dikarantina dapat mengeksekusi lintas asal JavaScript arbitrer

Deskripsi: Masalah skrip lintas situs muncul di Help Viewer. Masalah ini telah diatasi dengan menghapus file yang terpengaruh.

CVE-2017-13819: Filippo Cavallarin dari SecuriTeam Secure Disclosure

Entri diperbarui pada 10 November 2017

ImageIO

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah pengungkapan informasi terjadi saat memproses image disk. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2017-13831: Glen Carmichael

Entri diperbarui pada 10 November 2017

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Pengguna lokal dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah izin muncul di penghitung paket kernel. Masalah ini telah diatasi melalui validasi izin yang ditingkatkan.

CVE-2017-13810: Zhiyun Qian dari University of California, Riverside

Entri diperbarui pada 10 November 2017

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Muncul masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2017-13818: National Cyber Security Centre (NCSC) Inggris

CVE-2017-13836: Vlad Tsyrklevich, seorang peneliti anonim

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse dari Semmle Ltd.

Entri diperbarui pada 14 Juni 2018

Kernel

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13843: peneliti anonim, peneliti anonim

Kernel

Tersedia untuk: macOS Sierra 10.12.6

Dampak: Memproses biner mach yang rusak dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi yang ditingkatkan.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kernel

Tersedia untuk: macOS High Sierra 10.13 dan macOS Sierra 10.12.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13799: Lufeng Li dari Qihoo 360 Vulcan Team

Entri diperbarui pada 10 November 2017

Kernel

Tersedia untuk: macOS High Sierra 10.13

Dampak: Aplikasi yang berbahaya dapat mempelajari informasi tentang keberadaan dan pengoperasian aplikasi lain pada perangkat.

Deskripsi: Aplikasi dapat mengakses informasi proses yang dikelola oleh sistem operasi yang tidak terbatas. Masalah ini telah diatasi melalui pembatasan frekuensi.

CVE-2017-13852: Xiaokuan Zhang dan Yinqian Zhang dari The Ohio State University, Xueqiang Wang dan XiaoFeng Wang dari Indiana University Bloomington, dan Xiaolong Bai dari Tsinghua University

Entri ditambahkan pada 10 November 2017

libarchive

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-13813: ditemukan oleh OSS-Fuzz

CVE-2017-13816: ditemukan oleh OSS-Fuzz

libarchive

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Membuka arsip perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori muncul di libarchive. Masalah-masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2017-13812: ditemukan oleh OSS-Fuzz

libarchive

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2016-4736: Proteas dari Qihoo 360 Nirvan Team

Entri diperbarui pada 21 Desember 2017

Arsitektur Pembuatan Skrip

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Mendekompilasi AppleScript dengan osadecompile mungkin mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13824: peneliti anonim

PCRE

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di pcre

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 8.40.

CVE-2017-13846

Postfix

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Beberapa masalah di Postfix

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 3.2.2.

CVE-2017-10140: peneliti anonim

Entri diperbarui pada 17 November 2017

Lihat Cepat

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Lihat Cepat

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Menguraikan dokumen kantor perusak yang berbahaya dapat menyebabkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah pemakaian memori telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

QuickTime

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2017-13823: Xiangkun Jia dari Institute of Software Chinese Academy of Sciences

Entri diperbarui pada 10 November 2017

Remote Management

Tersedia untuk: macOS Sierra 10.12.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13808: peneliti anonim

Sandbox

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2017-13838: Alastair Houghton

Entri diperbarui pada 10 November 2017

Security

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2017-7170: Patrick Wardle dari Synack

Entri ditambahkan pada 11 Januari 2018

Security

Tersedia untuk: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dampak: Aplikasi yang berbahaya dapat mengekstrak kata sandi rantai kunci

Deskripsi: Sebuah metode tersedia bagi aplikasi untuk menghindari permintaan akses rantai kunci dengan klik buatan. Masalah ini telah diatasi dengan mewajibkan kata sandi pengguna saat meminta akses rantai kunci.

CVE-2017-7150: Patrick Wardle dari Synack

Entri ditambahkan pada 17 November 2017

StreamingZip

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: file zip yang berbahaya mungkin dapat memodifikasi area terbatas pada sistem file

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2017-13804: @qwertyoruiopz pada KJC Research Intl. S.R.L.

tcpdump

Tersedia untuk: macOS High Sierra 10.13 dan macOS Sierra 10.12.6

Dampak: Beberapa masalah di tcpdump

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke versi 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: Penyerang dalam jangkauan Wi-Fi dapat memaksa penggunaan ulang nonce dalam klien WPA unicast/PTK (Serangan Kunci Penginstalan Ulang - KRACK)

Deskripsi: Masalah logika muncul saat menangani transisi kondisi. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2017-13077: Mathy Vanhoef dari grup imec-DistriNet di KU Leuven

CVE-2017-13078: Mathy Vanhoef dari grup imec-DistriNet di KU Leuven

Entri diperbarui pada 3 November 2017

Wi-Fi

Tersedia untuk: macOS High Sierra 10.13, macOS Sierra 10.12.6, dan OS X El Capitan 10.11.6

Dampak: Penyerang dalam rentang Wi-Fi dapat memaksa penggunaan ulang nonce dalam klien WPA multicast/GTK (Serangan Kunci Penginstalan Ulang - KRACK)

Deskripsi: Masalah logika muncul saat menangani transisi kondisi. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2017-13080: Mathy Vanhoef dari grup imec-DistriNet di KU Leuven

Entri diperbarui pada 3 November 2017

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: Mon Jun 25 21:15:05 GMT 2018