Tentang konten keamanan macOS Sierra 10.12.1, Pembaruan Keamanan 2016-002 El Capitan, dan Pembaruan Keamanan 2016-006 Yosemite

Dokumen ini menjelaskan tentang konten keamanan macOS Sierra 10.12.1, Pembaruan Keamanan 2016-002 El Capitan, dan Pembaruan Keamanan 2016-006 Yosemite.

Tentang pembaruan keamanan Apple

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengkonfirmasi masalah keamanan hingga investigasi telah dilakukan dan perbaikan program atau rilis telah tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut tentang keamanan, kunjungi halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

macOS Sierra 10.12.1, Pembaruan Keamanan 2016-002 El Capitan, dan Pembaruan Keamanan 2016-006 Yosemite

Dirilis pada 24 Oktober 2016

AppleGraphicsControl

Tersedia untuk: OS X Yosemite v10.10.5 dan OS X El Capitan v10.11.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui pemeriksaan kondisi kunci yang ditingkatkan.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Tersedia untuk: macOS Sierra 10.12

Dampak: File yang dapat dieksekusi dan telah disetujui dapat menggantikan kode dengan ID tim yang sama

Deskripsi: Masalah validasi terjadi saat menangani persetujuan kode. Masalah ini telah diatasi dengan validasi tambahan.

CVE-2016-7584: Mark Mentovai dan Boris Vidolov dari Google Inc.

Entri ditambahkan pada 27 November 2016

AppleSMC

Tersedia untuk: macOS Sierra 10.12

Dampak: Pengguna lokal dapat meningkatkan hak istimewa

Deskripsi: Masalah dereferensi penunjuk null telah diatasi melalui peningkatan penguncian.

CVE-2016-4678: daybreaker@Minionz bekerja sama dengan Trend Micro's Zero Day Initiative

ATS

Tersedia untuk: macOS Sierra 10.12

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4667: Simon Huang dari alipay, Thelongestusernameofall@gmail.com, Moony Li dari TrendMicro, @Flyic

Entri diperbarui pada 27 Oktober 2016

ATS

Tersedia untuk: macOS Sierra 10.12

Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa tambahan

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4674: Shrek_wzw dari Qihoo 360 Nirvan Team

Proxy CFNetwork

Tersedia untuk: macOS Sierra 10.12

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah phishing muncul saat menangani kredensial proxy. Masalah ini telah diatasi dengan menghapus permintaan otentikasi sandi proxy yang tidak diminta.

CVE-2016-7579: Jerry Decime

Core Image

Tersedia untuk: OS X El Capitan v10.11.6

Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4681: Ke Liu dari Tencent's Xuanwu Lab

Entri ditambahkan pada 25 Oktober 2016

CoreGraphics

Tersedia untuk: macOS Sierra 10.12

Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2016-4673: Marco Grassi (@marcograss) dari KeenLab (@keen_lab), Tencent

FaceTime

Tersedia untuk: macOS Sierra 10.12

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengakibatkan panggilan yang direlai yang akan terus-menerus mentransmisi audio meskipun panggilan terlihat telah dihentikan

Deskripsi: Antarmuka pengguna yang tidak konsisten muncul saat menangani panggilan direlai. Masalah ini telah diatasi melalui logika protokol yang lebih baik.

CVE-2016-7577: Martin Vigo (@martin_vigo) dari salesforce.com

Entri ditambahkan pada 27 Oktober 2016

FontParser

Tersedia untuk: macOS Sierra 10.12

Dampak: Menguraikan font perusak yang berbahaya dapat mengungkapkan informasi rahasia pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang lebih baik.

CVE-2016-4660: Ke Liu dari Tencent's Xuanwu Lab

FontParser

Tersedia untuk: macOS Sierra 10.12

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer terjadi saat menangani file font. Masalah ini telah diatasi melalui pemeriksaan batas yang lebih baik.

CVE-2016-4688: Simon Huang dari perusahaan Alipay, thelongestusernameofall@gmail.com

Entri ditambahkan pada 27 November 2016

IDS - Konektivitas

Tersedia untuk: macOS Sierra 10.12

Dampak: Penyerang dengan posisi jaringan istimewa mungkin dapat mengakali pengguna dengan panggilan multi-pihak, sehingga pengguna yakin ada pihak lain yang mereka ajak bicara

Deskripsi: Masalah peniruan yang terjadi saat menangani pengalihan panggilan. Masalah ini telah diatasi melalui peningkatan penanganan pemberitahuan "alihkan penelepon".

CVE-2016-4721: Martin Vigo (@martin_vigo) dari salesforce.com

Entri ditambahkan pada 27 Oktober 2016

ImageIO

Tersedia untuk: OS X El Capitan v10.11.6

Dampak: Menguraikan PDF perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Penulisan di luar batas diatasi melalui peningkatan pemeriksaan batas.

CVE-2016-4671: Ke Liu dari Tencent's Xuanwu Lab, Juwei Lin (@fuzzerDOTcn)

ImageIO

Tersedia untuk: OS X Yosemite v10.10.5 dan OS X El Capitan v10.11.6

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah baca di luar batas muncul saat menguraikan gambar SGI. Masalah ini telah diatasi melalui pemeriksaan batas yang lebih baik.

CVE-2016-4682: Ke Liu dari Tencent's Xuanwu Lab

ImageIO

Tersedia untuk: OS X El Capitan v10.11.6

Dampak: Penyerang dari jarak jauh dapat mengeksekusi kode arbitrer

Deskripsi: Beberapa masalah pembacaan dan penulisan di luar batas muncul dalam penanganan SGI. Masalah tersebut telah diatasi melalui validasi input yang ditingkatkan.

CVE-2016-4683: Ke Liu dari Tencent’s Xuanwu Lab

Entri ditambahkan pada 25 Oktober 2016

Kernel

Tersedia untuk: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, dan macOS Sierra 10.12

Dampak: Pengguna lokal dapat menyebabkan sistem berhenti tiba-tiba atau eksekusi kode arbitrer di kernel

Deskripsi: Beberapa masalah validasi input muncul dalam kode yang dihasilkan MIG. Masalah tersebut telah diatasi melalui validasi yang lebih baik.

CVE-2016-4669: Ian Beer dari Google Project Zero

Entri diperbarui pada 2 November 2016

Kernel

Tersedia untuk: macOS Sierra 10.12

Dampak: Aplikasi lokal dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Beberapa masalah ketahanan objek terjadi ketika menghasilkan proses baru. Masalah-masalah ini telah diatasi dengan validasi yang lebih baik.

CVE-2016-7613: Ian Beer dari Google Project Zero

Entri ditambahkan pada 1 November 2016

libarchive

Tersedia untuk: macOS Sierra 10.12

Dampak: Arsip berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah muncul di dalam logika validasi jalur untuk symlink. Masalah ini telah diatasi melalui pembersihan jalur yang lebih baik.

CVE-2016-4679: Omer Medan dari enSilo Ltd

libxpc

Tersedia untuk: macOS Sierra 10.12

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Masalah logika telah diatasi melalui pembatasan tambahan.

CVE-2016-4675: Ian Beer dari Google Project Zero

Entri diperbarui 30 Maret 2017

ntfs

Tersedia untuk: macOS Sierra 10.12

Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah muncul saat menguraikan image disk. Masalah ini telah diatasi dengan peningkatan validasi.

CVE-2016-4661: Recurity Labs atas nama BSI (German Federal Office for Information Security)

Driver Grafis NVIDIA

Tersedia untuk: OS X Yosemite v10.10.5 dan OS X El Capitan v10.11.6

Dampak: Aplikasi mungkin dapat menyebabkan penolakan layanan

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4663: Apple

Keamanan

Tersedia untuk: macOS Sierra 10.12

Dampak: Penyerang lokal dapat melihat panjang sandi masuk saat pengguna akan masuk

Deskripsi: Masalah saat masuk terjadi saat menangani sandi. Masalah ini telah diatasi dengan menghapus panjang kata sandi proses masuk.

CVE-2016-4670: Daniel Jalkut dari Red Sweater Software

Entri diperbarui pada 25 Oktober 2016

Thunderbolt

Tersedia untuk: macOS Sierra 10.12

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Dereferensi penunjuk null telah diatasi melalui validasi input yang lebih baik.

CVE-2016-4780: sweetchip dari Grayhash

Entri ditambahkan pada 29 November 2016
macOS Sierra 10.12.1 mencakup konten keamanan Safari 10.0.1.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: