Mengenai konten keamanan OS X Yosemite v10.10.4 dan Pembaruan Keamanan 2015-005

Dokumen ini menjelaskan konten keamanan OS X Yosemite v10.10.4 dan Pembaruan Keamanan 2015-005.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari pembaruan keamanan lainnya, baca pembaruan keamanan Apple.

OS X Yosemite v10.10.4 dan Pembaruan Keamanan 2015-005

  • Admin Framework

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Suatu proses dapat memperoleh hak istimewa admin tanpa autentikasi yang sesuai

    Deskripsi: Sebuah masalah yang terjadi saat pemeriksaan hak XPC. Masalah ini telah diatasi dengan pemeriksaan pemberian hak yang ditingkatkan.

    CVE-ID

    CVE-2015-3671 : Emil Kvarnhammar di TrueSec

  • Admin Framework

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pengguna selain admin dapat memperoleh hak admin

    Deskripsi: Sebuah masalah yang terjadi dalam penanganan autentikasi pengguna. Masalah ini telah diatasi melalui pemeriksaan kesalahan yang ditingkatkan.

    CVE-ID

    CVE-2015-3672 : Emil Kvarnhammar di TrueSec

  • Admin Framework

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang dapat menyalahgunakan Directory Utility untuk memperoleh hak istimewa root

    Deskripsi: Directory Utility dapat dipindahkan dan dimodifikasi untuk memperoleh eksekusi kode di dalam proses yang berhak. Masalah ini telah diatasi dengan membatasi lokasi disk yang dapat dijalankan dari klien writeconfig.

    CVE-ID

    CVE-2015-3673 : Patrick Wardle dari Synack, Emil Kvarnhammar di TrueSec

  • afpserver

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang jarak jauh dapat menyebabkan aplikasi terhenti secara tiba-tiba atau mengeksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang ditemukan di server AFP. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3674 : Dean Jerkovich dari NCC Group

  • apache

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang mungkin dapat mengakses direktori yang dilindungi dengan autentikasi HTTP tanpa mengetahui kredensial yang benar

    Deskripsi: Konfigurasi default Apache tidak menyertakan mod_hfs_apple. Jika Apache diaktifkan secara manual dan konfigurasi tidak diubah, beberapa file yang tidak boleh diakses mungkin dapat diakses menggunakan URL perusak khusus. Masalah ini telah diatasi dengan mengaktifkan mod_hfs_apple.

    CVE-ID

    CVE-2015-3675 : Apple

  • apache

    Tersedia untuk: OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Beberapa kerentanan terdapat di PHP, kerentanan paling berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan yang ditemukan di PHP versi sebelum 5.5.24 dan 5.4.40. Kerentanan ini ditangani dengan memperbarui PHP ke versi 5.5.24 dan 5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat tata letak memori kernel

    Deskripsi: Masalah yang ditemukan di AppleGraphicsControl yang dapat menyebabkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2015-3676 : Chen Liang dari Tim KEEN

  • AppleFSCompression

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Masalah yang ditemukan dalam kompresi LZVN yang dapat menyebabkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3677 : peneliti anonim bekerja sama dengan Zero Day Initiative dari HP

  • AppleThunderboltEDMService

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori yang ditemukan saat penanganan perintah Thunderbolt tertentu dari proses lokal. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3678 : Apple

  • ATS

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pemrosesan file font perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori yang ditemukan pada penanganan font tertentu. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-3679 : Pawel Wylecial bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3680 : Pawel Wylecial bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3681 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3682 : 魏诺德

  • Bluetooth

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori yang ditemukan di antarmuka Bluetooth HCI. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3683 : Roberto Paleari dan Aristide Fattori dari Emaze Networks

  • Certificate Trust Policy

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang dengan posisi jaringan istimewa mungkin dapat mengganggu lalu lintas jaringan

    Deskripsi: Kesalahan penerbitan sertifikat perantara oleh otoritas sertifikat CNNIC. Masalah ini telah diatasi dengan ditambahnya mekanisme untuk hanya memercayai subset sertifikat yang diterbitkan sebelum salah menerbitkan sertifikat menengah tersebut. Anda dapat mempelajari lebih lanjut mengenai daftar izin keamanan yang dipercaya sebagian.

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Deskripsi: Kebijakan kepercayaan sertifikat telah diperbarui. Lihat daftar lengkap sertifikat di Toko Tepercaya OS X.

  • CFNetwork HTTPAuthentication

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Mengikuti URL perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang ditemukan pada penanganan kredensial URL tertentu. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3684 : Apple

  • CoreText

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pemrosesan file teks perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori yang ditemukan dalam pemrosesan file teks. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685 : Apple

    CVE-2015-3686 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3687 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3688 : John Villamil (@day6reak), Tim Yahoo Pentest

    CVE-2015-3689 : Apple

  • coreTLS

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang dengan posisi jaringan istimewa dapat mengganggu koneksi SSL/TLS

    Deskripsi: coreTLS menerima kunci singkat sementara Diffie-Hellman (DH), sebagaimana digunakan dalam rangkaian cipher DH sementara berkemampuan ekspor. Masalah ini, juga dikenal sebagai Logjam, menyebabkan penyerang dengan posisi jaringan hak istimewa menurunkan keamanan hingga 512-bit DH jika server mendukung rangkaian cipher DH sementara berkemampuan ekspor. Masalah ini telah diatasi dengan meningkatkan ukuran minimum default yang diizinkan untuk kunci sementara DH hingga 768 bit.

    CVE-ID

    CVE-2015-4000 : Tim weakdh di weakdh.org, Hanno Boeck

  • DiskImages

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Masalah pengungkapan informasi yang ditemukan dalam pemrosesan image disk. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3690 : Peter Rutenbar yang bekerja sama dengan Zero Day Initiative dari HP

  • Display Drivers

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Masalah yang ditemukan dalam ekstensi kernel Monitor Control Command Set yang digunakan oleh userland untuk mengontrol nilai penunjuk fungsi di dalam kernel. Masalah ini telah diatasi dengan menghapus antarmuka yang bermasalah.

    CVE-ID

    CVE-2015-3691 : Roberto Paleari dan Aristide Fattori dari Emaze Networks

  • EFI

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya dengan hak istimewa root mungkin dapat memodifikasi memori flash EFI

    Deskripsi: Masalah penguncian tidak mencukupi yang ditemukan saat melanjutkan dari kondisi tidur. Masalah ini telah diatasi dengan penguncian yang ditingkatkan.

    CVE-ID

    CVE-2015-3692 : Trammell Hudson dari Two Sigma Investments, Xeno Kovah dan Corey Kallenberg dari LegbaCore LLC, Pedro Vilaça

  • EFI

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya dapat menyebabkan kerusakan memori untuk mengeskalasi hak istimewa

    Deskripsi: Kesalahan gangguan, yang disebut juga Rowhammer, ditemukan dalam beberapa RAM DDR3 yang dapat menyebabkan kerusakan memori. Masalah ini teratasi dengan menambah rasio penyegaran memori.

    CVE-ID

    CVE-2015-3693 : Mark Seaborn dan Thomas Dullien dari Google, bekerja dengan riset asli karya Yoongu Kim dkk (2014)

  • FontParser

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pemrosesan file font perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang ditemukan dalam pemrosesan file font. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

    CVE-ID

    CVE-2015-3694 : John Villamil (@day6reak), Tim Yahoo Pentest

  • Driver Grafis

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Masalah penulisan di luar batas yang ditemukan dalam driver grafis NVIDIA. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2015-3712 : Ian Beer dari Google Project Zero

  • Driver Grafis Intel

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Beberapa masalah kelebihan buffer ditemukan dalam driver grafis Intel, masalah paling serius dapat menyebabkan eksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Beberapa masalah kelebihan buffer yang ditemukan dalam driver grafis Intel. Masalah-masalah ini telah diatasi melalui pemeriksaan batas tambahan.

    CVE-ID

    CVE-2015-3695 : Ian Beer dari Google Project Zero

    CVE-2015-3696 : Ian Beer dari Google Project Zero

    CVE-2015-3697 : Ian Beer dari Google Project Zero

    CVE-2015-3698 : Ian Beer dari Google Project Zero

    CVE-2015-3699 : Ian Beer dari Google Project Zero

    CVE-2015-3700 : Ian Beer dari Google Project Zero

    CVE-2015-3701 : Ian Beer dari Google Project Zero

    CVE-2015-3702 : Tim KEEN

  • ImageIO

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Beberapa kerentanan yang ditemukan dalam libtiff, kerentanan paling berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Beberapa kerentanan yang ditemukan dalam libtiff versi sebelum 4.0.4. Kerentanan tersebut diatasi dengan memperbarui libtiff ke versi 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pemrosesan file .tiff perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang ditemukan dalam pemrosesan file .tiff. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2015-3703 : Apple

  • Install Framework Legacy

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Beberapa masalah yang ditemukan dalam cara biner setuid 'runner' Install.framework menurunkan hak istimewa. Masalah ini telah diatasi dengan menurunkan hak istimewa dengan benar.

    CVE-ID

    CVE-2015-3704 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Beberapa masalah kerusakan memori yang ditemukan di IOAcceleratorFamily. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-3705 : Tim KEEN

    CVE-2015-3706 : Tim KEEN

  • IOFireWireFamily

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer menggunakan hak istimewa sistem

    Deskripsi: Beberapa masalah dereferensi penunjuk nol yang ditemukan dalam driver FireWire. Masalah tersebut telah diatasi melalui pemeriksaan kesalahan yang ditingkatkan.

    CVE-ID

    CVE-2015-3707 : Roberto Paleari dan Aristide Fattori dari Emaze Networks

  • Kernel

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Masalah manajemen memori yang ditemukan pada penanganan API terkait ekstensi kernel yang dapat menyebabkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3720 : Stefan Esser

  • Kernel

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Masalah manajemen memori yang ditemukan pada penanganan parameter HFS yang dapat menyebabkan pengungkapan tata letak memori kernel. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3721 : Ian Beer dari Google Project Zero

  • kext tools

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menimpa file arbitrer

    Deskripsi: kextd setelah tautan simbolis saat membuat file baru. Masalah ini telah diatasi melalui penanganan tautan simbolis yang lebih baik.

    CVE-ID

    CVE-2015-3708 : Ian Beer dari Google Project Zero

  • kext tools

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pengguna lokal mungkin dapat memuat ekstensi kernel yang tidak ditandatangani

    Deskripsi: Syarat kondisi pacu waktu pemeriksaan waktu penggunaan (TOCTOU) yang ditemukan saat memvalidasi jalur ekstensi kernel. Masalah ini telah diatasi melalui pemeriksaan yang ditingkatkan untuk memvalidasi jalur ekstensi kernel.

    CVE-ID

    CVE-2015-3709 : Ian Beer dari Google Project Zero

  • Mail

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Email perusak yang berbahaya dapat mengganti isi pesan dengan halaman web arbitrer ketika pesan ditampilkan

    Deskripsi: Masalah yang ditemukan dalam dukungan email HTML yang memungkinkan isi pesan disegarkan dengan halaman web arbitrer. Masalah ini telah diatasi melalui pembatasan dukungan untuk konten HTML.

    CVE-ID

    CVE-2015-3710 : Aaron Sigel dari vtty.com, Jan Souček

  • ntfs

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Masalah yang ditemukan dalam NTFS yang dapat menyebabkan pengungkapan isi memori kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-3711 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • ntp

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang dengan posisi istimewa mungkin dapat melakukan serangan penolakan layanan terhadap dua klien ntp

    Deskripsi: Beberapa masalah yang ditemukan dalam autentikasi paket ntp yang diterima oleh endpoint yang dikonfigurasi. Masalah-masalah ini telah diatasi dengan pengelolaan kondisi koneksi yang ditingkatkan.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Beberapa masalah ditemukan di OpenSSL, termasuk masalah yang memungkinkan penyerang mengganggu koneksi ke server yang mendukung cipher tingkat ekspor

    Deskripsi: Beberapa masalah yang ditemukan di OpenSSL 0.9.8zd yang diatasi dengan memperbarui OpenSSL ke versi 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pemrosesan file film perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori yang ditemukan di QuickTime. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-3661 : G. Geshev bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3662 : kdot bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3663 : kdot bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3666 : Steven Seeley dari Source Incite bekerja sama dengan Zero Day Initiative dari HP

    CVE-2015-3667 : Ryan Pentney, Richard Johnson dari Cisco Talos dan Kai Lu dari FortiGuard Labs Fortinet

    CVE-2015-3668 : Kai Lu dari FortiGuard Labs Fortinet

    CVE-2015-3713 : Apple

  • Security

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang jarak jauh dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat yang ditemukan dalam kode kerangka kerja Security untuk menguraikan email S/MIME dan objek yang dienkripsi serta ditandatangani lainnya. Masalah ini telah diatasi dengan pemeriksaan validitas yang lebih baik.

    CVE-ID

    CVE-2013-1741

  • Security

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Peluncuran aplikasi yang dirusak tidak dapat dihentikan

    Deskripsi: Aplikasi yang menggunakan aturan sumber daya kustom mungkin lebih rentan mengalami perusakan yang akan memvalidasi tanda tangan. Masalah ini telah diatasi dengan pemeriksaan sumber daya yang ditingkatkan.

    CVE-ID

    CVE-2015-3714 : Joshua Pitts dari Leviathan Security Group

  • Security

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Aplikasi berbahaya mungkin dapat menerobos pemeriksaan penandatanganan kode

    Deskripsi: Masalah yang ditemukan yang menyebabkan penandatanganan kode tidak memverifikasi perpustakaan yang dimuat di luar bundel aplikasi. Masalah ini telah diatasi dengan verifikasi bundel yang ditingkatkan.

    CVE-ID

    CVE-2015-3715 : Patrick Wardle dari Synack

  • Spotlight

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pencarian file berbahaya dengan Spotlight dapat menyebabkan injeksi perintah

    Deskripsi: Kerentanan injeksi perintah yang ditemukan dalam penanganan nama file foto yang ditambahkan ke perpustakaan foto lokal. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

    CVE-ID

    CVE-2015-3716 : Apple

  • SQLite

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Penyerang jarak jauh dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa kelebihan buffer yang ditemukan dalam penerapan printf SQLite. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.

    CVE-ID

    CVE-2015-3717 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • SQLite

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Perintah SQL perusak yang berbahaya dapat memungkinkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah API yang ditemukan dalam fungsionalitas SQLite. Masalah ini telah diatasi dengan peningkatan pembatasan.

    CVE-ID

    CVE-2015-7036 : Peter Rutenbar bekerja sama dengan Zero Day Initiative dari HP

  • System Stats

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: App berbahaya mungkin dapat menyusupi systemstatsd

    Deskripsi: Masalah kebingungan terkait jenis yang ditemukan dalam penanganan komunikasi antarproses systemstatsd. Dengan mengirimkan pesan berformat yang berbahaya ke systemstatsd, kode arbitrer mungkin dapat dieksekusi sebagai proses systemstatsd. Masalah ini telah diatasi melalui pemeriksaan jenis tambahan.

    CVE-ID

    CVE-2015-3718 : Roberto Paleari dan Aristide Fattori dari Emaze Networks

  • TrueTypeScaler

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Pemrosesan file font perusak yang berbahaya dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang ditemukan dalam pemrosesan file font. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

    CVE-ID

    CVE-2015-3719 : John Villamil (@day6reak), Tim Yahoo Pentest

  • zip

    Tersedia untuk: OS X Yosemite v10.10 hingga v10.10.3

    Dampak: Mengekstrak file zip perusak yang berbahaya menggunakan alat pengekstrak dapat menyebabkan aplikasi terhenti secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori yang ditemukan pada penanganan file zip. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 menyertakan konten keamanan Safari 8.0.7.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: