Mengenai konten keamanan OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002

Dokumen ini menjelaskan konten keamanan OS X Montain Lion v10.8.4 dan Pembaruan Keamanan 2013-002, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002

Catatan: OS X Mountain Lion v10.8.4 menyertakan konten Safari 6.0.5. Untuk detail selengkapnya, lihat Tentang konten keamanan Safari 6.0.5.

  • CFNetwork

    Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Penyerang yang memiliki akses ke sesi pengguna mungkin dapat masuk ke situs yang diakses sebelumnya, meskipun Penelusuran Pribadi digunakan

    Deskripsi: Cookie permanen disimpan setelah keluar dari Safari, meskipun Penelusuran Pribadi diaktifkan. Masalah ini telah diatasi melalui peningkatan penanganan cookie.

    CVE-ID

    CVE-2013-0982: Alexander Traud dari www.traud.de

  • CoreAnimation

    Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi masalah alokasi tumpukan tak terbatas saat menangani simbol teks. Hal ini dapat dipicu oleh URL perusak yang berbahaya di Safari. Masalah tersebut diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0983: David Fifield dari Stanford University, Ben Syverson

  • CoreMedia Playback

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi masalah akses memori yang tidak diinisialisasi saat menangani pelacakan teks. Masalah ini diatasi melalui validasi tambahan pelacakan teks.

    CVE-ID

    CVE-2013-1024: Richard Kuo dan Billy Suguitan dari Triemt Corporation

  • CUPS

    Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Pengguna lokal dalam grup lpadmin mungkin dapat membaca dan menulis file arbitrer dengan hak istimewa sistem

    Deskripsi: Terjadi masalah eskalasi hak istimewa saat menangani konfigurasi CUPS melalui antarmuka web CUPS. Pengguna lokal dalam grup lpadmin mungkin dapat membaca dan menulis file arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi dengan memindahkan konfigurasi tertentu langsung ke cups-files.conf, yang tidak dapat diubah dari antarmuka web CUPS.

    CVE-ID

    CVE-2012-5519

  • Directory Service

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dampak: Penyerang jarak jauh dapat mengeksekusi kode arbitrer dengan hak istimewa sistem di sistem yang mengaktifkan Layanan Direktori

    Deskripsi: Terjadi masalah saat server direktori menangani pesan dari jaringan. Dengan mengirimkan pesan perusak yang berbahaya, penyerang jarak jauh dapat mengakibatkan server direktori berhenti atau mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Lion atau OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984: Nicolas Economou dari Core Security

  • Disk Management

    Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Pengguna lokal dapat menonaktifkan FileVault

    Deskripsi: Pengguna lokal yang bukan administrator dapat menonaktifkan FileVault menggunakan baris perintah. Masalah ini telah diatasi dengan menambahkan autentikasi tambahan.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terjadi serangan yang diketahui pada kerahasiaan TLS 1.0 ketika kompresi diaktifkan. Masalah ini telah diatasi dengan menonaktifkan kompresi di OpenSSL.

    CVE-ID

    CVE-2012-4929: Juliano Rizzo dan Thai Duong

  • OpenSSL

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Beberapa kerentanan di OpenSSL

    Deskripsi: OpenSSL telah diperbarui ke versi 0.9.8x untuk mengatasi beberapa kerentanan, sehingga mengakibatkan penolakan layanan atau pengungkapan kunci pribadi. Informasi lebih lanjut tersedia melalui situs web OpenSSL di http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.2

    Dampak: Membuka gambar PICT perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi kelebihan buffer saat menangani gambar PICT. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2013-0975: Tobias Klein bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 to v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Description: Terjadi kelebihan buffer saat menangani atom 'enof'. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2013-0986: Tom Gallagher (Microsoft) & Paul Bates (Microsoft) yang bekerja sama dengan Zero Day Initiative dari HP

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Menampilkan file QTIF perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori saat menangani file QTIF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2013-0987: roob bekerja sama dengan iDefense VCP

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Menampilkan file FPX perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi kelebihan buffer saat menangani file FPX. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2013-0988: G. Geshev bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Memutar file MP3 perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi kelebihan buffer saat menangani file MP3. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2013-0989: G. Geshev bekerja sama dengan Zero Day Initiative HP

  • Ruby

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dampak: Beberapa kerentanan di Ruby on Rails

    Deskripsi: Beberapa kerentanan terjadi di Ruby on Rails, yang paling serius dapat mengakibatkan eksekusi kode arbitrer di sistem yang menjalankan app Ruby on Rails. Masalah ini telah diatasi dengan memperbarui Ruby on Rails ke versi 2.3.18. Masalah ini dapat memengaruhi sistem OS X Lion atau OS X Mountain Lion yang ditingkatkan dari Mac OS X 10.6.8 atau versi lebih lama. Pengguna dapat memperbarui gem yang terpengaruh di sistem tersebut dengan menggunakan utilitas /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Tersedia untuk: OS X Lion v10.7 to v10.7.5, OS X Lion Server v10.7 hingga v10.7.5, OS X Mountain Lion v10.8 hingga v10.8.3

    Dampak: Pengguna yang sah mungkin dapat membaca atau menulis file di luar direktori bersama

    Deskripsi: Jika berbagi file SMB diaktifkan, pengguna yang diatutentikasi mungkin dapat membaca atau menulis file di luar direktori bersama. Masalah ini telah diatasi melalui kontrol akses yang lebih baik.

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • Catatan: Mulai dari OS X v10.8.4, app Java Web Start (yaitu JNLP) yang diunduh dari Internet harus ditandatangani dengan sertifikat ID Pengembang. Gatekeeper akan memeriksa tanda tangan di app Java Web Start yang diunduh dan memblokir app tersebut agar tidak diluncurkan jika tidak ditandatangani dengan benar.

    Anda dapat menggunakan utilitas codesign untuk menandatangani file JNLP, yang akan melampirkan tanda tangan kode ke file JNLP sebagai atribut yang diperluas. Untuk mempertahankan atribut ini, kemas file JNLP dalam file ZIP, XIP, atau DMG. Hati-hati menggunakan format ZIP, karena beberapa alat pihak ketiga mungkin tidak menangkap atribut yang diperluas dengan benar.

    Pelajari lebih lanjut di Catatan Teknis TN2206: Penandatanganan Kode OS X..

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: