Mengenai konten keamanan OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002

Dokumen ini menjelaskan konten keamanan OS X Montain Lion v10.8.4 dan Pembaruan Keamanan 2013-002, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002

Catatan: OS X Mountain Lion v10.8.4 menyertakan konten Safari 6.0.5. Untuk detail selengkapnya, lihat Tentang konten keamanan Safari 6.0.5.

• CFNetwork

  Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Penyerang yang memiliki akses ke sesi pengguna mungkin dapat masuk ke situs yang diakses sebelumnya, meskipun Penelusuran Pribadi digunakan

  Deskripsi: Cookie permanen disimpan setelah keluar dari Safari, meskipun Penelusuran Pribadi diaktifkan. Masalah ini telah diatasi melalui peningkatan penanganan cookie.

  CVE-ID

  CVE-2013-0982: Alexander Traud dari www.traud.de

• CoreAnimation

  Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terjadi masalah alokasi tumpukan tak terbatas saat menangani simbol teks. Hal ini dapat dipicu oleh URL perusak yang berbahaya di Safari. Masalah tersebut diatasi melalui pemeriksaan batas-batas yang lebih baik.

  CVE-ID

  CVE-2013-0983: David Fifield dari Stanford University, Ben Syverson

• CoreMedia Playback

  Tersedia untuk: OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terjadi masalah akses memori yang tidak diinisialisasi saat menangani pelacakan teks. Masalah ini diatasi melalui validasi tambahan pelacakan teks.

  CVE-ID

  CVE-2013-1024: Richard Kuo dan Billy Suguitan dari Triemt Corporation

• CUPS

  Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Pengguna lokal dalam grup lpadmin mungkin dapat membaca dan menulis file arbitrer dengan hak istimewa sistem

  Deskripsi: Terjadi masalah eskalasi hak istimewa saat menangani konfigurasi CUPS melalui antarmuka web CUPS. Pengguna lokal dalam grup lpadmin mungkin dapat membaca dan menulis file arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi dengan memindahkan konfigurasi tertentu langsung ke cups-files.conf, yang tidak dapat diubah dari antarmuka web CUPS.

  CVE-ID

  CVE-2012-5519

• Directory Service

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Dampak: Penyerang jarak jauh dapat mengeksekusi kode arbitrer dengan hak istimewa sistem di sistem yang mengaktifkan Layanan Direktori

  Deskripsi: Terjadi masalah saat server direktori menangani pesan dari jaringan. Dengan mengirimkan pesan perusak yang berbahaya, penyerang jarak jauh dapat mengakibatkan server direktori berhenti atau mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Lion atau OS X Mountain Lion.

  CVE-ID

  CVE-2013-0984: Nicolas Economou dari Core Security

• Disk Management

  Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Pengguna lokal dapat menonaktifkan FileVault

  Deskripsi: Pengguna lokal yang bukan administrator dapat menonaktifkan FileVault menggunakan baris perintah. Masalah ini telah diatasi dengan menambahkan autentikasi tambahan.

  CVE-ID

  CVE-2013-0985

• OpenSSL

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

  Deskripsi: Terjadi serangan yang diketahui pada kerahasiaan TLS 1.0 ketika kompresi diaktifkan. Masalah ini telah diatasi dengan menonaktifkan kompresi di OpenSSL.

  CVE-ID

  CVE-2012-4929: Juliano Rizzo dan Thai Duong

• OpenSSL

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Beberapa kerentanan di OpenSSL

  Deskripsi: OpenSSL telah diperbarui ke versi 0.9.8x untuk mengatasi beberapa kerentanan, sehingga mengakibatkan penolakan layanan atau pengungkapan kunci pribadi. Informasi lebih lanjut tersedia melalui situs web OpenSSL di http://www.openssl.org/news/

  CVE-ID

  CVE-2011-1945

  CVE-2011-3207

  CVE-2011-3210

  CVE-2011-4108

  CVE-2011-4109

  CVE-2011-4576

  CVE-2011-4577

  CVE-2011-4619

  CVE-2012-0050

  CVE-2012-2110

  CVE-2012-2131

  CVE-2012-2333

• QuickDraw Manager

  Tersedia untuk: OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.2

  Dampak: Membuka gambar PICT perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terjadi kelebihan buffer saat menangani gambar PICT. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

  CVE-ID

  CVE-2013-0975: Tobias Klein bekerja sama dengan Zero Day Initiative HP

• QuickTime

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Description: Terjadi kelebihan buffer saat menangani atom 'enof'. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

  CVE-ID

  CVE-2013-0986: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) yang bekerja sama dengan Zero Day Initiative dari HP

• QuickTime

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Menampilkan file QTIF perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terdapat masalah kerusakan memori saat menangani file QTIF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

  CVE-ID

  CVE-2013-0987: roob bekerja sama dengan iDefense VCP

• QuickTime

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Menampilkan file FPX perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terjadi kelebihan buffer saat menangani file FPX. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

  CVE-ID

  CVE-2013-0988: G. Geshev bekerja sama dengan Zero Day Initiative HP

• QuickTime

  Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Memutar file MP3 perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

  Deskripsi: Terjadi kelebihan buffer saat menangani file MP3. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

  CVE-ID

  CVE-2013-0989: G. Geshev bekerja sama dengan Zero Day Initiative HP

• Ruby

  Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8

  Dampak: Beberapa kerentanan di Ruby on Rails

  Deskripsi: Beberapa kerentanan terjadi di Ruby on Rails, yang paling serius dapat mengakibatkan eksekusi kode arbitrer di sistem yang menjalankan app Ruby on Rails. Masalah ini telah diatasi dengan memperbarui Ruby on Rails ke versi 2.3.18. Masalah ini dapat memengaruhi sistem OS X Lion atau OS X Mountain Lion yang ditingkatkan dari Mac OS X 10.6.8 atau versi lebih lama. Pengguna dapat memperbarui gem yang terpengaruh di sistem tersebut dengan menggunakan utilitas /usr/bin/gem.

  CVE-ID

  CVE-2013-0155

  CVE-2013-0276

  CVE-2013-0277

  CVE-2013-0333

  CVE-2013-1854

  CVE-2013-1855

  CVE-2013-1856

  CVE-2013-1857

• SMB

  Tersedia untuk: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

  Dampak: Pengguna yang sah mungkin dapat membaca atau menulis file di luar direktori bersama

  Deskripsi: Jika berbagi file SMB diaktifkan, pengguna yang diatutentikasi mungkin dapat membaca atau menulis file di luar direktori bersama. Masalah ini telah diatasi melalui kontrol akses yang lebih baik.

  CVE-ID

  CVE-2013-0990 : Ward van Wanrooij

• Catatan: Mulai dari OS X v10.8.4, app Java Web Start (yaitu JNLP) yang diunduh dari Internet harus ditandatangani dengan sertifikat ID Pengembang. Gatekeeper akan memeriksa tanda tangan di app Java Web Start yang diunduh dan memblokir app tersebut agar tidak diluncurkan jika tidak ditandatangani dengan benar.

  Anda dapat menggunakan utilitas codesign untuk menandatangani file JNLP, yang akan melampirkan tanda tangan kode ke file JNLP sebagai atribut yang diperluas. Untuk mempertahankan atribut ini, kemas file JNLP dalam file ZIP, XIP, atau DMG. Hati-hati menggunakan format ZIP, karena beberapa alat pihak ketiga mungkin tidak menangkap atribut yang diperluas dengan benar.

  Pelajari lebih lanjut di Catatan Teknis TN2206: Penandatanganan Kode OS X..