Mengenai konten keamanan Mac OS X v10.6.8 dan Pembaruan Keamanan 2011-004

Dokumen ini menjelaskan Mac OS X v10.6.8 dan Pembaruan Keamanan 2011-004.

Pembaruan ini dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengkonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple".

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut tentang kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple."

Mac OS X v10.6.8 dan Pembaruan Keamanan 2011-004

  • AirPort

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Saat terhubung ke Wi-Fi, penyerang di jaringan yang sama mungkin dapat menyebabkan pengaturan ulang sistem

    Penjelasan: Masalah pembacaan memori di luar batas muncul saat menangani bingkai Wi-Fi. Saat terhubung ke Wi-Fi, penyerang di jaringan yang sama mungkin dapat menyebabkan pengaturan ulang sistem. Masalah ini tidak memengaruhi Mac OS X v10.6

    CVE-ID

    CVE-2011-0196

  • App Store

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Kata sandi ID Apple pengguna dicatat ke file lokal

    Penjelasan: Dalam kondisi tertentu, App Store dapat mencatat kata sandi ID Apple pengguna ke file yang tidak dapat dibaca pengguna lain di sistem tersebut. Masalah ini diatasi melalui peningkatan penanganan informasi pengesahan.

    CVE-ID

    CVE-2011-0197 : Paul Nelson

  • ATS

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Masalah tumpukan kelebihan buffer muncul saat menangani fon TrueType. Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0198 : Harry Sintonen, Marc Schoenefeld dari Tim Tanggap Keamanan Red Hat

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

    Penjelasan: Terjadi kesalahan saat menangani masalah yang muncul dalam Kebijakan Kepercayaan Sertifikat. Jika sertifikat Validasi Diperpanjang (EV) tidak memiliki URL OCSP, dan pemeriksaan CRL aktif, CRL tersebut tidak akan diperiksa dan sertifikat yang dicabut dapat diterima sebagai valid. Masalah ini teratasi karena sebagian besar sertifikat EV menentukan URL OSCP.

    CVE-ID

    CVE-2011-0199 : Chris Hawk dan Wan-Teh Chang dari Google

  • ColorSync

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Menampilkan gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan bilangan bulat muncul saat menangani gambar dengan profil ColorSync tersemat, yang dapat mengakibatkan tumpukan kelebihan buffer. Membuka gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0200 : binaryproof bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • CoreFoundation

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Aplikasi yang menggunakan bingkai CoreFoundation dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kelebihan buffer yang disebabkan oleh banyak kondisi (off-by-one) muncul saat menangani CFStrings. Aplikasi yang menggunakan bingkai CoreFoundation dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0201 : Harry Sintonen

  • CoreGraphics

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kelebihan bilangan bulat terjadi saat menangani fon Type 1. Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0202 : Cristian Draghici dari Modulo Consulting, Felix Grobert dari Tim Keamanan Google

  • Server FTP

    Tersedia untuk: Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Orang yang memiliki akses FTP dapat membuat daftar file di sistem

    Penjelasan: Masalah validasi jalur muncul di xftpd. Orang yang memiliki akses FTP dapat melakukan pendaftaran direktori berulang dari dasar, termasuk direktori yang tidak dibagikan untuk FTP. Pendaftaran ini akhirnya mencakup file apa pun yang dapat diakses oleh pengguna FTP. Konten file tidak diperlihatkan. Masalah ini diatasi melalui peningkatan validasi jalur. Masalah ini hanya memengaruhi sistem Mac OS X Server.

    CVE-ID

    CVE-2011-0203 : tim karlkani

  • ImageIO

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Tumpukan kelebihan buffer muncul saat menangani gambar TIFF di ImageIO. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0204 : Dominic Chell dari NGS Secure

  • ImageIO

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah tumpukan kelebihan buffer muncul saat menangani gambar JPEG2000 di ImageIO. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi terhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0205 : Harry Sintonen

  • Komponen Internasional untuk Unicode

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Aplikasi yang menggunakan ICU dapat menjadi rentan terhadap aplikasi yang terhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kelebihan buffer muncul saat menangani string huruf besar di ICU. Aplikasi yang menggunakan ICU dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0206 : David Bienvenu dari Mozilla

  • Kernel

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Pengguna lokal mungkin dapat menyebabkan pengaturan ulang sistem

    Deskripsi: Masalah dereferensi null muncul saat menangani pilihan soket IPV6. Pengguna lokal mungkin dapat menyebabkan pengaturan ulang sistem.

    CVE-ID

    CVE-2011-1132 : Thomas Clement dari Intego

  • Libsystem

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Aplikasi yang menggunakan API glob(3) dapat menjadi rentan terhadap penolakan layanan

    Penjelasan: Aplikasi yang menggunakan API glob(3) dapat menjadi rentan terhadap penolakan layanan. Jika pola glob tersebut berasal dari input yang tidak tepercaya, aplikasi itu bisa hang atau menggunakan sumber daya CPU yang berlebihan. Masalah ini diatasi melalui peningkatan validasi pola glob.

    CVE-ID

    CVE-2010-2632 : Maksymilian Arciemowicz

  • libxslt

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan terungkapnya alamat di tumpukan

    Deskripsi: Penerapan libxslt pada fungsi XPath generate-id() mengungkapkan alamat buffer tumpukan. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan terungkapnya alamat di tumpukan. Masalah ini diatasi dengan menghasilkan ID berdasarkan pada perbedaan antara alamat kedua buffer tumpukan.

    CVE-ID

    CVE-2011-0195 : Chris Evans dari Tim Keamanan Google Chrome

  • MobileMe

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat membaca nama alias email MobileMe milik pengguna

    Penjelasan: Saat berkomunikasi dengan MobileMe untuk menentukan nama alias email pengguna, Mail akan membuat permintaan melalui HTTP. Akibatnya, penyerang dengan posisi jaringan yang memiliki hak istimewa dapat membaca nama alias email MobileMe milik pengguna. Masalah ini diatasi dengan SSL untuk mengakses nama alias email pengguna.

    CVE-ID

    CVE-2011-0207 : Aaron Sigel dari vtty.com

  • MySQL

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Beberapa kerentanan di MySQL 5.0.91

    Penjelasan: MySQL diperbarui ke versi 5.0.92 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. MySQL hanya dilengkapi dengan sistem Mac OS X Server.

    CVE-ID

    CVE-2010-3677

    CVE-2010-3682

    CVE-2010-3833

    CVE-2010-3834

    CVE-2010-3835

    CVE-2010-3836

    CVE-2010-3837

    CVE-2010-3838

  • OpenSSL

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Beberapa kerentanan di OpenSSL

    Penjelasan: Beberapa kerentanan muncul di OpenSSL, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Masalah ini dapat diatasi dengan memperbarui OpenSSL ke versi 0.9.8r.

    CVE-ID

    CVE-2009-3245

    CVE-2010-0740

    CVE-2010-3864

    CVE-2010-4180

    CVE-2011-0014

  • tempelan

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menjalankan tempelan di file tempelan perusak yang berbahaya dapat mengakibatkan file arbitrer dibuat atau ditimpa

    Penjelasan: Masalah eksploitasi direktori muncul di tempelan GNU. Menjalankan tempelan di file tempelan perusak yang berbahaya dapat mengakibatkan file arbitrer dibuat atau ditimpa. Masalah ini diatasi melalui peningkatan validasi file tempelan.

    CVE-ID

    CVE-2010-4651

  • QuickLook

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Mengunduh file Microsoft Office perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani file Microsoft Office di QuickLook. Mengunduh file Microsoft Office perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6.

    CVE-ID

    CVE-2011-0208 : Tobias Klein bekerja sama dengan iDefense VCP

  • QuickTime

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan file WAV perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan bilangan bulat muncul saat menangani file RIFF WAV di QuickTime. Menampilkan file WAV perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0209 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kerusakan memori muncul saat menangani contoh tabel QuickTime dalam file film QuickTime. Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0210 : Honggang Ren dari Laboratorium Fortinet's FortiGuard

  • QuickTime

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan bilangan bulat muncul saat menangani file film QuickTime. Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0211 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan gambar PICT perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer muncul saat menangani gambar PICT di QuickTime. Menampilkan gambar PICT perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2010-3790 : Subreption LLC bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer muncul saat menangani gambar JPEG di QuickTime. Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0213 : Luigi Auriemma bekerja sama dengan iDefense

  • Samba

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Jika file SMB aktif, penyerang dari jauh dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer

    Penjelasan: Tumpukan kelebihan buffer muncul saat menangani ID Keamanan Windows di Samba. Jika file SMB aktif, penyerang dari jauh dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X 10.6.7.

    CVE-ID

    CVE-2010-3069

  • Samba

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Jika file SMB aktif, penyerang dari jauh dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer

    Penjelasan: Masalah kerusakan memori muncul saat menangani deskriptor file Samba. Jika file SMB aktif, penyerang dari jauh dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2011-0719 : Volker Lendecke dari SerNet

  • servermgrd

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Penyerang dari jarak jauh mungkin dapat membaca file arbitrer dari sistem

    Penjelasan: Masalah Entitas Eksternal XML muncul saat menangani permintaan XML-RPC di servermgrd. Masalah ini diatasi dengan menghapus antarmuka XML-RPC di servermgrd. Masalah ini hanya memengaruhi sistem Mac OS X Server.

    CVE-ID

    CVE-2011-0212 : Apple

  • subversi

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.7, Mac OS X Server v10.6 hingga v10.6.7

    Dampak: Jika server Subversion berbasis http dikonfigurasi, penyerang dari jarak jauh mungkin dapat mengakibatkan penolakan layanan

    Penjelasan: Masalah pengaksesan alamat null muncul saat menangani token kunci di Subversion melalui HTTP. Jika server Subversion berbasis http dikonfigurasi, penyerang dari jarak jauh mungkin dapat mengakibatkan penolakan layanan. Untuk sistem Mac OS X v10.6, Subversion diperbarui ke versi 1.6.6. Untuk sistem Mac OS X v10.5.8, masalah tersebut diatasi melalui validasi token kunci tambahan. Informasi lebih lanjut tersedia melalui situs web Subversi pada http://subversion.apache.org/

    CVE-ID

    CVE-2011-0715

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: