Tentang konten keamanan OS X Mountain Lion v10.8.3 dan Pembaruan Keamanan 2013-001

Dokumen ini menjelaskan konten keamanan OS X Mountain Lion v10.8.3 dan Pembaruan Keamanan 2013-001.

OS X Mountain Lion v10.8.3 dan Pembaruan Keamanan 2013-001 dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduh Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple".

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut tentang kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".

Catatan: OS X Mountain Lion v10.8.3 meliputi juga konten Safari 6.0.3. Untuk rincian selengkapnya, lihat Tentang konten keamanan Safari 6.0.3.

OS X Mountain Lion v10.8.3 dan Pembaruan Keamanan 2013-001

  • Apache

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Penyerang dapat mengakses direktori yang dilindungi oleh autentikasi HTTP tanpa mengetahui informasi pengesahan yang benar

    Penjelasan: Masalah kanonikalisasi muncul pada penanganan alamat URI dengan urutan karakter Unicode yang dapat diabaikan. Masalah ini telah diatasi dengan memperbarui mod_hfs_apple untuk melarang akses ke URI urutan karakter Unicode yang dapat diabaikan.

    CVE-ID

    CVE-2013-0966 : Clint Ruoho dari Laconic Security

  • CoreTypes

    Tersedia untuk: OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Mengunjungi situs web perusak berbahaya dapat membolehkan aplikasi Java Web Start untuk diluncurkan secara otomatis bahkan jika plug-in Java dalam kondisi nonaktif

    Penjelasan: Aplikasi Java Web Start akan berjalan bahkan jika plug-in Java telah dinonaktifkan. Masalah ini diatasi dengan menghapus file JNLP dari daftar jenis file aman CoreTypes, sehingga aplikasi Web Start tidak akan berjalan kecuali pengguna membukanya di direktori Downloads.

    CVE-ID

    CVE-2013-0967

  • Komponen Internasional untuk Unicode

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan serangan skripting lintas situs

    Deskripsi: Ada masalah kanonikalisasi saat menangani pengodean EUC-JP, yang dapat menyebabkan serangan skripting lintas situs pada situs web yang berkode EUC-JP. Masalah ini telah ditangani dengan memperbarui tabel pemetaan EUC-JP.

    CVE-ID

    CVE-2011-3058 : Masato Kinugawa

  • Layanan Identitas

    Tersedia untuk: OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Autentikasi yang mengandalkan autentikasi ID Apple berbasis sertifikat dapat dipintas

    Keterangan: Ada masalah penanganan kesalahan dalam Layanan Identitas. Jika sertifikat AppleID pengguna gagal divalidasi, AppleID pengguna dianggap sebagai string kosong. Jika banyak sistem milik berbagai pengguna masuk dalam kondisi ini, aplikasi yang mengandalkan penentuan identitas ini bisa memberikan kepercayaan dengan salah. Masalah ini diatasi dengan memastikan bahwa NULL diberikan sebagai respons pengganti string kosong.

    CVE-ID

    CVE-2013-0963

  • ImageIO

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Melihat file TIFF perusak yang berbahaya dapat mengarah ke penghentian aplikasi secara tiba-tiba atau eksekusi kode yang acak

    Penjelasan: Proses buffering yang berlebihan terjadi saat menangani gambar TIFF atau libtiff. Masalah ini diatasi melalui validasi gambar TIFF tambahan.

    CVE-ID

    CVE-2012-2088

  • IOAcceleratorFamily

    Tersedia untuk: OS X Mountain Lion v10.8 ke v10.8.2

    Dampak: Melihat file gambar perusak yang berbahaya dapat mengarah ke penghentian sistem secara tiba-tiba atau eksekusi kode yang acak

    Penjelasan: Masalah korupsi memori muncul saat menangani data grafis. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0976 : sebuah peneliti anonim

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8 ke v10.8.2

    Dampak: Aplikasi berbahaya atau terkompromi mungkin dapat menentukan alamat di dalam kernel

    Penjelasan: Masalah pengungkapan informasi muncul saat menangani API terkait dengan ekstensi kernel. Respon yang mengandung kunci OSBundleMachOHeaders mungkin mencakup alamat kernel, yang mungkin membantu memintas perlindungan pengacakan tata letak ruang alamat. Masalah ini diatasi dengan tidak menggeser alamat sebelum mengembalikannya.

    CVE-ID

    CVE-2012-3749 : Mark Dowd dari Azimuth Security, Eric Monti dari Square, dan beberapa tambahan peneliti anonim

  • Jendela Masuk

    Tersedia untuk: OS X Mountain Lion v10.8 ke v10.8.2

    Dampak: Penyerang dengan akses papan ketik mungkin akan mengubah konfigurasi sistem

    Penjelasan: Kesalahan logika muncul pada penanganan VoiceOver di jendela Login, di mana penyerang dengan akses ke papan ketik dapat meluncurkan System Preferences (Preferensi Sistem) dan mengubah konfigurasi sistem. Masalah ini diatasi dengan mencegah VoiceOver meluncurkan aplikasi pada Jendela Login.

    CVE-ID

    CVE-2013-0969 : Eric A. Schulman dari Purpletree Labs

  • Pesan

    Tersedia untuk: OS X Mountain Lion v10.8 ke v10.8.2

    Dampak: Mengeklik tautan dari Pesan dapat mengeksekusi panggilan FaceTime tanpa pemberitahuan

    Penjelasan: Mengeklik format khusus URL FaceTime:// di Pesan dapat melakukan bypass pada peringatan konfirmasi standar. Masalah ini diatasi melalui validasi tambahan URL FaceTime://.

    CVE-ID

    CVE-2013-0970 : Aaron Sigel dari vtty.com

  • Server Pesan

    Tersedia untuk: Mac OS X Server 10.6.8, OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang jarak jauh dapat membuat route ulang pesan Jabber terfederasi

    Penjelasan: Masalah muncul dalam server Jabber yang menangani pesan hasil panggilan kembali. Penyerang mungkin dapat menyebabkan server Jabber membuka informasi yang ditujukan bagi pengguna server terfederasi. Masalah ini diatasi melalui peningkatan penanganan pesan hasil panggilan kembali.

    CVE-ID

    CVE-2012-3525

  • PDFKit

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Suatu penggunaan setelah masalah bebas muncul di dalam penanganan anotasi tinta di file PDF. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2013-0971 : Tobias Klein yang bekerja bersama Zero Day Initiative HP TippingPoint

  • Podcast Producer Server

    Tersedia untuk: Mac OS X Server 10.6.8, OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Suatu jenis masalah kasting yang muncul di Ruby on Rails' saat menangani parameter XML. Masalah ini diatasi dengan menonaktifkan parameter XML dalam implementasi Rails yang digunakan oleh Podcast Producer Server.

    CVE-ID

    CVE-2013-0156

  • Podcast Producer Server

    Tersedia untuk: OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Suatu jenis masalah kasting yang muncul di Ruby on Rails' saat menangani data JSON. Masalah ini diatasi dengan beralih menggunakan pintu belakang JSONGem untuk penguraian JSON dalam implementasi Rails yang digunakan oleh Podcast Producer Server.

    CVE-ID

    CVE-2013-0333

  • PostgreSQL

    Tersedia untuk: Mac OS X Server 10.6.8, OS X Lion Server v10.7 ke v10.7.5

    Dampak: Beberapa kerentanan dalam PostgreSQL

    Penjelasan: PostgreSQL diperbarui ke versi 9.1.5 untuk mengatasi berbagai kerentanan, satu hal yang paling berbahaya dapat mengizinkan pengguna database untuk membaca file dari sistem file dengan hak istimewa yang dimiliki oleh akun peran server database. Informasi lengkap tersedia melalui situs web PostgreSQL dihttp://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    CVE-ID

    CVE-2012-3488

    CVE-2012-3489

  • Manajer Profil

    Tersedia untuk: OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Suatu jenis masalah kasting yang muncul di Ruby on Rails' saat menangani parameter XML. Masalah ini diatasi dengan menonaktifkan parameter XML dalam implementasi Rails yang digunakan oleh Profile Manager (Manajer Profil).

    CVE-ID

    CVE-2013-0156

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Proses buffering yang berlebihan terjadi saat menangani kotak 'rnet' di file MP4. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2012-3756 : Kevin Szkudlapski dari QuarksLab

  • Ruby

    Tersedia untuk: Mac OS X Server 10.6.8

    Dampak: Penyerang jarak jauh mungkin dapat menyebabkan pelaksanaan kode dengan sewenang-wenang jika aplikasi Rails sedang berjalan

    Penjelasan: Suatu jenis masalah kasting yang muncul di Ruby on Rails' saat menangani parameter XML. Masalah ini diatasi dengan menonaktifkan YAML dan simbol dalam parameter XML di Rails.

    CVE-ID

    CVE-2013-0156

  • Keamanan

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

    Deskripsi: Beberapa sertifikat CA perantara dikeluarkan secara sembarangan oleh TURKTRUST. Hal ini memungkinkan pelaku serangan MITM (man-in-the-middle) untuk mengalihkan koneksi serta menangkap informasi pengesahan pengguna atau informasi rahasia lainnya. Masalah ini telah ditangani dengan tidak mengizinkan sertifikat SSL yang salah.

  • Pembaruan Perangkat Lunak

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 ke v10.7.5, OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang dengan posisi jaringan hak istimewa mungkin dapat menyebabkan pelaksanaan kode secara sewenang-wenang

    Penjelasan: Pembaruan Perangkat Lunak mengizinkan seseorang di tengah penyerang untuk menyisipkan konten plugin ke dalam teks pemasaran yang ditampilkan untuk pembaruan. Hal ini mungkin membolehkan eksploitasi penggunaan plugin yang berisiko, atau memfasilitasi serangan mesin sosial yang melibatkan plugin. Masalah ini tidak memengaruhi sistem OS X Mountain Lion. Masalah ini diatasi dengan mencegah plugin memuat di teks pemasaran WebView pada Pembaruan Perangkat Lunak.

    CVE-ID

    CVE-2013-0973 : Emilio Escobar

  • Wiki Server

    Tersedia untuk: OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Suatu jenis masalah kasting yang muncul di Ruby on Rails' saat menangani parameter XML. Masalah ini diatasi dengan menonaktifkan parameter XML dalam implementasi Rails yang digunakan oleh Wiki Server.

    CVE-ID

    CVE-2013-0156

  • Wiki Server

    Tersedia untuk: OS X Lion Server v10.7 ke v10.7.5

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Suatu jenis masalah kasting yang muncul di Ruby on Rails' saat menangani data JSON. Masalah ini diatasi dengan beralih menggunakan pintu belakang JSONGem untuk penguraian JSON dalam implementasi Rails yang digunakan oleh Wiki Server.

    CVE-ID

    CVE-2013-0333

  • Penghapusan malware

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Deskripsi: Pembaruan ini menjalankan alat penghapusan perangkat lunak jahat yang akan menghapus jenis perangkat lunak jahat yang paling umum. Jika perangkat lunak jahat ditemukan, dialog yang memberitahukan pengguna bahwa perangkat lunak jahat telah dihapus akan muncul. Tidak ada indikasi untuk pengguna bila perangkat lunak jahat tidak ditemukan.

FaceTime tidak tersedia di semua negara atau wilayah.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: