Artikel ini telah diarsipkan dan tidak lagi diperbarui oleh Apple.

Mengenai Pembaruan Keamanan 2006-003

Dokumen ini menjelaskan Pembaruan Keamanan 2006-003, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple.”

Pembaruan Keamanan 2006-003

  • AppKit

    CVE-ID: CVE-2006-1439

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Karakter yang dimasukkan ke bidang teks aman dapat dibaca oleh aplikasi lain dalam sesi jendela yang sama

    Deskripsi: Pada situasi tertentu saat beralih antarbidang input teks, NSSecureTextField mungkin gagal mengaktifkan ulang input peristiwa aman. Hal ini dapat memungkinkan aplikasi lain di sesi jendela yang sama melihat sebagian karakter input dan peristiwa papan ketik. Pembaruan ini mengatasi masalah tersebut dengan memastikan input peristiwa aman diaktifkan dengan benar. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.

  • AppKit, ImageIO

    CVE-ID: CVE-2006-1982, CVE-2006-1983, CVE-2006-1984

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Melihat gambar GIF atau TIFF perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Penanganan gambar GIF atau TIFF yang rusak dapat menyebabkan eksekusi kode arbitrer saat menguraikan gambar perusak yang berbahaya. Masalah ini memengaruhi aplikasi yang menggunakan kerangka kerja ImageIO (Mac OS X v10.4 Tiger) atau AppKit (Mac OS X v10.3 Panther) untuk membaca gambar. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap gambar GIF dan TIFF.

  • BOM

    CVE-ID: CVE-2006-1985

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Memperluas arsip dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Dengan membuat arsip (misalnya arsip Zip) secara cermat yang berisi nama jalur panjang, penyerang mungkin dapat memicu kelebihan buffer tumpukan di BOM. Hal ini dapat menyebabkan eksekusi kode arbitrer. BOM digunakan untuk menangani arsip di Finder dan aplikasi lain. Pembaruan ini mengatasi masalah tersebut dengan penanganan yang benar untuk ketentuan batas.

  • BOM

    CVE-ID: CVE-2006-1440

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Memperluas arsip yang berbahaya dapat menyebabkan file arbitrer dibuat atau ditimpa

    Deskripsi: Masalah penanganan tautan simbolis traversal direktori yang ditemukan dalam arsip dapat menyebabkan BOM membuat atau menimpa file di lokasi arbitrer yang dapat diakses oleh pengguna yang memperluas arsip tersebut. BOM menangani arsip untuk Finder dan aplikasi lainnya. Pembaruan ini mengatasi masalah tersebut dengan memastikan file yang diperluas dari suatu arsip tidak ditempatkan di luar direktori destinasi.

  • CFNetwork

    CVE-ID: CVE-2006-1441

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat saat menangani pengkodean transfer terpotong dapat menyebabkan eksekusi kode arbitrer. CFNetwork digunakan oleh Safari dan aplikasi lainnya. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.

  • ClamAV

    CVE-ID: CVE-2006-1614, CVE-2006-1615, CVE-2006-1630

    Tersedia untuk: Mac OS X Server v10.4.6

    Dampak: Memproses pesan email perusak yang berbahaya menggunakan ClamAV dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Perangkat lunak pemindaian virus ClamAV telah diperbarui untuk menyertakan perbaikan keamanan dalam rilis terbaru. ClamAV diperkenalkan pada Mac OS X Server v10.4 untuk pemindaian email. Dalam kondisi terparah, masalah ini dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa ClamAV. Untuk informasi lebih lanjut, lihat situs web proyek di http://www.clamav.net.

  • CoreFoundation

    CVE-ID: CVE-2006-1442

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Pendaftaran bundel yang tidak tepercaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Pada situasi tertentu, bundel didaftarkan secara implisit oleh aplikasi atau sistem. Suatu fitur dari API bundel memungkinkan pemuatan dan eksekusi perpustakaan dinamis saat bundel didaftarkan, meskipun aplikasi klien tidak memintanya secara eksplisit. Akibatnya, kode arbitrer mungkin dijalankan dari bundel yang tidak tepercaya tanpa interaksi pengguna yang eksplisit. Pembaruan ini mengatasi masalah tersebut dengan hanya memuat dan menjalankan perpustakaan dari bundel pada waktu yang tepat.

  • CoreFoundation

    CVE-ID: CVE-2006-1443

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Konversi string ke representasi sistem file dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat selama pemrosesan ketentuan batas di CFStringGetFileSystemRepresentation dapat menyebabkan eksekusi kode arbitrer. Aplikasi yang menggunakan API ini atau salah satu API terkait seperti getFileSystemRepresentation:maxLength:withPath: dari NSFileManager dapat memicu masalah ini dan menyebabkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan penanganan yang benar untuk ketentuan batas.

  • CoreGraphics

    CVE-ID: CVE-2006-1444

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Karakter yang dimasukkan ke bidang teks aman dapat dibaca oleh aplikasi lain dalam sesi jendela yang sama

    Description: Quartz Event Services menyediakan aplikasi yang dapat mengamati dan mengubah peristiwa input pengguna level rendah. Pada umumnya, aplikasi tidak dapat mengganggu peristiwa apabila input peristiwa aman diaktifkan. Namun, jika “Berikan akses untuk perangkat bantu” dinyalakan, Quartz Event Services dapat digunakan untuk mengganggu peristiwa meskipun input peristiwa aman diaktifkan. Pembaruan ini mengatasi masalah tersebut dengan memfilter peristiwa saat input peristiwa aman diaktifkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4. Terima kasih kepada Damien Bobillot yang telah melaporkan masalah ini.

  • Finder

    CVE-ID: CVE-2006-1448

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Meluncurkan item Lokasi Internet dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Item Lokasi Internet adalah kontainer URL simpel yang mungkin merujuk ke URL http://, ftp://, dan file://, serta beberapa skema URL lainnya. Berbagai jenis item Lokasi Internet ini dapat dibedakan secara visual dan dirancang agar aman untuk diluncurkan secara eksplisit. Namun demikian, skema URL mungkin berbeda dengan jenis Lokasi Internet. Akibatnya, penyerang mungkin dapat mengecoh pengguna untuk meluncurkan item yang tampaknya tidak berbahaya (misalnya Lokasi Internet Web, http://), dengan hasil yang sebenarnya digunakan oleh skema URL lain. Dalam situasi tertentu, hal ini dapat menyebabkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan membatasi skema URL berdasarkan jenis Lokasi Internet.

  • FTPServer

    CVE-ID: CVE-2006-1445

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Operasi FTP oleh pengguna FTP terautentikasi dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Beberapa masalah dalam penanganan nama jalur server FTP dapat menyebabkan kelebihan buffer. Pengguna terautentikasi yang berbahaya mungkin dapat memicu kelebihan ini, yang dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa server FTP. Pembaruan ini mengatasi masalah tersebut dengan penanganan yang benar untuk ketentuan batas.

  • Flash Player

    CVE-ID: CVE-2005-2628, CVE-2006-0024

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Memutar konten Flash dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Adobe Flash Player berisi kerentanan kritis yang dapat menyebabkan eksekusi kode arbitrer saat file yang dibuat secara khusus dimuat. Informasi lebih lanjut tersedia melalui situs web Adobe di http://www.adobe.com/devnet/security/security_zone/apsb06-03.html. Pembaruan ini mengatasi masalah tersebut dengan menyertakan Flash Player versi 8.0.24.0.

  • ImageIO

    CVE-ID: CVE-2006-1552

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Melihat gambar JPEG perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat dalam pemrosesan metadata JPEG dapat menyebabkan kelebihan buffer tumpukan. Dengan membuat gambar secara cermat menggunakan metadata JPEG yang rusak, penyerang mungkin dapat menyebabkan eksekusi kode arbitrer saat gambar dilihat. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi gambar tambahan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4. Terima kasih kepada Brent Simmons dari NewsGator Technologies, Inc. yang telah melaporkan masalah ini.

  • Keychain

    CVE-ID: CVE-2006-1446

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Suatu aplikasi mungkin dapat menggunakan item Rantai Kunci saat Rantai Kunci dikunci

    Deskripsi: Saat Rantai Kunci dikunci, aplikasi tidak dapat mengakses item Rantai Kunci yang ada di dalamnya tanpa meminta Rantai Kunci dibuka terlebih dahulu. Namun, dalam situasi tertentu, aplikasi yang telah memperoleh referensi ke item Rantai Kunci sebelum Rantai Kunci tersebut dikunci mungkin dapat terus menggunakan item Rantai Kunci tersebut meskipun Rantai Kunci dikunci maupun dibuka. Pembaruan ini mengatasi masalah tersebut dengan menolak permintaan untuk menggunakan item Rantai Kunci saat Rantai Kunci dikunci. Terima kasih kepada Tobias Hahn dari HU Berlin yang telah melaporkan masalah ini.

  • LaunchServices

    CVE-ID: CVE-2006-1447

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Ekstensi nama file yang panjang dapat mencegah Validasi Pengunduhan menentukan dengan benar aplikasi mana yang dapat digunakan untuk membuka suatu item. Akibatnya, penyerang mungkin dapat melewati Validasi Pengunduhan dan menyebabkan Safari membuka konten yang tidak aman secara otomatis jika pilihan “Buka file ‘aman’ setelah diunduh” diaktifkan dan aplikasi tertentu tidak diinstal. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan yang ditingkatkan untuk ekstensi nama file. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.

  • libcurl

    CVE-ID: CVE-2005-4077

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Penanganan URL di libcurl dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: libcurl perpustakaan HTTP sumber terbuka berisi kelebihan buffer dalam penanganan URL. Aplikasi yang menggunakan curl untuk penanganan URL dapat memicu masalah ini dan menyebabkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan menyertakan libcurl versi 7.15.1. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.

  • Mail

    CVE-ID: CVE-2006-1449

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Melihat pesan mail yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Dengan membuat pesan email yang dibuat secara khusus menggunakan lampiran MacMIME yang dienkapsulasi, penyerang dapat memicu kelebihan bilangan bulat. Masalah ini dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa pengguna yang menjalankan Mail. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap pesan.

  • Mail

    CVE-ID: CVE-2006-1450

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Melihat pesan mail yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Penanganan informasi warna yang tidak valid dalam pesan email teks diperkaya dapat menyebabkan alokasi dan inisialisasi kelas arbitrer. Masalah ini dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa pengguna yang menjalankan Mail. Pembaruan ini mengatasi masalah tersebut dengan penanganan yang benar untuk data teks diperkaya yang rusak.

  • MySQL Manager

    CVE-ID: CVE-2006-1451

    Tersedia untuk: Mac OS X Server v10.4.6

    Dampak: Database MySQL dapat diakses dengan kata sandi kosong

    Deskripsi: Selama pengaturan awal server database MySQL menggunakan MySQL Manager, “Kata sandi root MySQL baru” mungkin diisi. Namun, kata sandi ini sebenarnya tidak digunakan. Akibatnya, kata sandi root MySQL akan tetap kosong. Selanjutnya, pengguna lokal mungkin memperoleh akses ke database MySQL dengan hak istimewa penuh. Pembaruan ini mengatasi masalah tersebut dengan memastikan kata sandi yang dimasukkan sudah disimpan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X Server v10.4. Terima kasih kepada Ben Low dari the University of New South Wales yang telah melaporkan masalah ini.

  • Preview

    CVE-ID: CVE-2006-1452

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Menavigasi hierarki direktori perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Saat menavigasi sangat jauh ke dalam hierarki direktori di Pratinjau, kelebihan buffer tumpukan mungkin terpicu. Dengan membuat hierarki direktori semacam itu secara cermat, penyerang mungkin dapat menyebabkan eksekusi kode arbitrer jika direktori dibuka di Pratinjau. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.

  • QuickDraw

    CVE-ID: CVE-2006-1453, CVE-2006-1454

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Melihat gambar PICT perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Terdapat dua masalah yang memengaruhi QuickDraw saat memproses gambar PICT. Informasi font yang rusak dapat menyebabkan kelebihan buffer tumpukan, dan data gambar yang rusak dapat menyebabkan kelebihan buffer tumpukan. Dengan membuat gambar PICT perusak secara cermat, penyerang mungkin dapat menyebabkan eksekusi kode arbitrer saat gambar dilihat. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap gambar PICT. Terima kasih kepada Mike Price dari McAfee AVERT Labs karena telah melaporkan masalah ini.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1455

    Tersedia untuk: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Dampak: Film QuickTime yang rusak dapat menyebabkan QuickTime Streaming Server macet

    Deskripsi: Film QuickTime dengan track yang tidak lengkap dapat menyebabkan dereferensi penunjuk null, yang menyebabkan proses server macet. Hal ini menyebabkan terputusnya koneksi klien yang aktif. Namun, server dimulai ulang secara otomatis. Pembaruan ini mengatasi masalah tersebut dengan menghasilkan kesalahan saat menemukan film yang rusak.

  • QuickTime Streaming Server

    CVE-ID: CVE-2006-1456

    Tersedia untuk: Mac OS X Server v10.3.9, Mac OS X Server v10.4.6

    Dampak: Permintaan RTSP perusak yang berbahaya dapat menyebabkan proses macet atau eksekusi kode arbitrer

    Deskripsi: Dengan membuat permintaan RTSP secara cermat, penyerang mungkin dapat memicu kelebihan buffer selama pencatatan pesan. Masalah ini dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa QuickTime Streaming Server. Pembaruan ini mengatasi masalah tersebut dengan penanganan yang benar untuk ketentuan batas. Terima kasih kepada tim riset Mu Security yang telah melaporkan masalah ini.

  • Ruby

    CVE-ID: CVE-2005-2337

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Pembatasan level aman Ruby mungkin dilewati

    Deskripsi: Bahasa pembuatan skrip Ruby berisi mekanisme “level aman” yang digunakan untuk membatasi operasi tertentu. Mekanisme ini paling banyak digunakan saat menjalankan aplikasi Ruby dengan hak istimewa atau aplikasi jaringan Ruby. Pada situasi tertentu, penyerang mungkin dapat melewati pembatasan dalam aplikasi tersebut. Aplikasi yang tidak mengandalkan level aman tidak terpengaruh oleh masalah ini. Pembaruan ini mengatasi masalah tersebut dengan memastikan level aman tidak dapat dilewati.

  • Safari

    CVE-ID: CVE-2006-1457

    Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6

    Dampak: Mengunjungi situs web yang berbahaya dapat menyebabkan manipulasi file atau eksekusi kode arbitrer

    Deskripsi: Saat pilihan “Buka file ‘aman’ setelah diunduh” di Safari diaktifkan, arsip akan diperluas secara otomatis. Jika arsip berisi tautan simbolis, symlink target dapat dipindahkan ke desktop pengguna dan diluncurkan. Pembaruan ini mengatasi masalah tersebut dengan tidak memproses tautan simbolis yang diunduh. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.

Tanggal Dipublikasikan: