Mengenai konten keamanan OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002
Dokumen ini menjelaskan konten keamanan OS X Montain Lion v10.8.4 dan Pembaruan Keamanan 2013-002, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002
Catatan: OS X Mountain Lion v10.8.4 menyertakan konten Safari 6.0.5. Untuk detail selengkapnya, lihat Tentang konten keamanan Safari 6.0.5.
CFNetwork
Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Penyerang yang memiliki akses ke sesi pengguna mungkin dapat masuk ke situs yang diakses sebelumnya, meskipun Penelusuran Pribadi digunakan
Deskripsi: Cookie permanen disimpan setelah keluar dari Safari, meskipun Penelusuran Pribadi diaktifkan. Masalah ini telah diatasi melalui peningkatan penanganan cookie.
CVE-ID
CVE-2013-0982: Alexander Traud dari www.traud.de
CoreAnimation
Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah alokasi tumpukan tak terbatas saat menangani simbol teks. Hal ini dapat dipicu oleh URL perusak yang berbahaya di Safari. Masalah tersebut diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-ID
CVE-2013-0983: David Fifield dari Stanford University, Ben Syverson
CoreMedia Playback
Tersedia untuk: OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah akses memori yang tidak diinisialisasi saat menangani pelacakan teks. Masalah ini diatasi melalui validasi tambahan pelacakan teks.
CVE-ID
CVE-2013-1024: Richard Kuo dan Billy Suguitan dari Triemt Corporation
CUPS
Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Pengguna lokal dalam grup lpadmin mungkin dapat membaca dan menulis file arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi masalah eskalasi hak istimewa saat menangani konfigurasi CUPS melalui antarmuka web CUPS. Pengguna lokal dalam grup lpadmin mungkin dapat membaca dan menulis file arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi dengan memindahkan konfigurasi tertentu langsung ke cups-files.conf, yang tidak dapat diubah dari antarmuka web CUPS.
CVE-ID
CVE-2012-5519
Directory Service
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Dampak: Penyerang jarak jauh dapat mengeksekusi kode arbitrer dengan hak istimewa sistem di sistem yang mengaktifkan Layanan Direktori
Deskripsi: Terjadi masalah saat server direktori menangani pesan dari jaringan. Dengan mengirimkan pesan perusak yang berbahaya, penyerang jarak jauh dapat mengakibatkan server direktori berhenti atau mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Lion atau OS X Mountain Lion.
CVE-ID
CVE-2013-0984: Nicolas Economou dari Core Security
Disk Management
Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Pengguna lokal dapat menonaktifkan FileVault
Deskripsi: Pengguna lokal yang bukan administrator dapat menonaktifkan FileVault menggunakan baris perintah. Masalah ini telah diatasi dengan menambahkan autentikasi tambahan.
CVE-ID
CVE-2013-0985
OpenSSL
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL
Deskripsi: Terjadi serangan yang diketahui pada kerahasiaan TLS 1.0 ketika kompresi diaktifkan. Masalah ini telah diatasi dengan menonaktifkan kompresi di OpenSSL.
CVE-ID
CVE-2012-4929: Juliano Rizzo dan Thai Duong
OpenSSL
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Beberapa kerentanan di OpenSSL
Deskripsi: OpenSSL telah diperbarui ke versi 0.9.8x untuk mengatasi beberapa kerentanan, sehingga mengakibatkan penolakan layanan atau pengungkapan kunci pribadi. Informasi lebih lanjut tersedia melalui situs web OpenSSL di http://www.openssl.org/news/
CVE-ID
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
QuickDraw Manager
Tersedia untuk: OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.2
Dampak: Membuka gambar PICT perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi kelebihan buffer saat menangani gambar PICT. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2013-0975: Tobias Klein bekerja sama dengan Zero Day Initiative HP
QuickTime
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Description: Terjadi kelebihan buffer saat menangani atom 'enof'. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2013-0986: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) yang bekerja sama dengan Zero Day Initiative dari HP
QuickTime
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Menampilkan file QTIF perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori saat menangani file QTIF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2013-0987: roob bekerja sama dengan iDefense VCP
QuickTime
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Menampilkan file FPX perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi kelebihan buffer saat menangani file FPX. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2013-0988: G. Geshev bekerja sama dengan Zero Day Initiative HP
QuickTime
Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Memutar file MP3 perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi kelebihan buffer saat menangani file MP3. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2013-0989: G. Geshev bekerja sama dengan Zero Day Initiative HP
Ruby
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Dampak: Beberapa kerentanan di Ruby on Rails
Deskripsi: Beberapa kerentanan terjadi di Ruby on Rails, yang paling serius dapat mengakibatkan eksekusi kode arbitrer di sistem yang menjalankan app Ruby on Rails. Masalah ini telah diatasi dengan memperbarui Ruby on Rails ke versi 2.3.18. Masalah ini dapat memengaruhi sistem OS X Lion atau OS X Mountain Lion yang ditingkatkan dari Mac OS X 10.6.8 atau versi lebih lama. Pengguna dapat memperbarui gem yang terpengaruh di sistem tersebut dengan menggunakan utilitas /usr/bin/gem.
CVE-ID
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
SMB
Tersedia untuk: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3
Dampak: Pengguna yang sah mungkin dapat membaca atau menulis file di luar direktori bersama
Deskripsi: Jika berbagi file SMB diaktifkan, pengguna yang diatutentikasi mungkin dapat membaca atau menulis file di luar direktori bersama. Masalah ini telah diatasi melalui kontrol akses yang lebih baik.
CVE-ID
CVE-2013-0990 : Ward van Wanrooij
Catatan: Mulai dari OS X v10.8.4, app Java Web Start (yaitu JNLP) yang diunduh dari Internet harus ditandatangani dengan sertifikat ID Pengembang. Gatekeeper akan memeriksa tanda tangan di app Java Web Start yang diunduh dan memblokir app tersebut agar tidak diluncurkan jika tidak ditandatangani dengan benar.
Anda dapat menggunakan utilitas codesign untuk menandatangani file JNLP, yang akan melampirkan tanda tangan kode ke file JNLP sebagai atribut yang diperluas. Untuk mempertahankan atribut ini, kemas file JNLP dalam file ZIP, XIP, atau DMG. Hati-hati menggunakan format ZIP, karena beberapa alat pihak ketiga mungkin tidak menangkap atribut yang diperluas dengan benar.
Pelajari lebih lanjut di Catatan Teknis TN2206: Penandatanganan Kode OS X..
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.