Mengenai konten keamanan Pembaruan Mac OS X 10.4.7
Dokumen ini menjelaskan konten keamanan Pembaruan Mac OS X 10.4.7, yang dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak atau dari Unduhan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple."'
Pembaruan Mac OS X v10.4.7
AFP
CVE-ID: CVE-2006-1468
Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dampak: Nama file dan folder mungkin diungkapkan kepada pengguna yang tidak berwenang
Deskripsi: Masalah di server AFP memungkinkan hasil pencarian menyertakan nama tersebut file dan folder yang tidak dapat diakses oleh pengguna yang melakukan pencarian. Hal ini bisa mengakibatkan pengungkapan informasi jika nama-nama itu sendiri merupakan informasi sensitif. Pembaruan ini mengatasi masalah ini dengan memastikan bahwa hasil pencarian hanya menyertakan item yang diizinkan oleh pengguna. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.
ClamAV
CVE-ID: CVE-2006-1989
Tersedia untuk: Mac OS X Server v10.4.6
Dampak: Ketika pemindaian virus dikonfigurasi untuk memperbarui secara otomatis, cermin database berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah dalam pembaruan database virus otomatis ClamAV bisa mengakibatkan kelebihan buffer berbasis tumpukan. Cermin database ClamAV yang berbahaya atau palsu mungkin dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa ClamAV. Layanan Mail, pemindaian virus, dan pembaruan database virus otomatis dinonaktifkan secara default. Pembaruan ini mengatasi masalah tersebut dengan menggabungkan ClamAV 0.88.2. Masalah ini tidak berdampak pada sistem sebelum Mac OS X v10.4.
ImageIO
CVE-ID: CVE-2006-1469
Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dampak: Melihat gambar TIFF yang berbahaya dapat mengakibatkan aplikasi gagal beroperasi atau eksekusi kode arbitrer
Deskripsi: Dengan membuat gambar TIFF yang rusak secara hati-hati, penyerang dapat memicu kelebihan buffer berbasis tumpukan yang dapat mengakibatkan aplikasi gagal beroperasi atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap gambar TIFF. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.4.
launchd
CVE-ID: CVE-2006-1471
Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dampak: Pengguna lokal dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Kerentanan string format dalam launchd program setuid memungkinkan pengguna lokal yang diautentikasi mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalahnya ada di fasilitas pencatatan launchd. Pembaruan ini mengatasi masalah ini dengan melakukan validasi tambahan saat mencatat pesan. Masalah ini tidak berdampak pada sistem sebelum Mac OS X v10.4. Terima kasih kepada Kevin Finisterre dari DigitalMunition karena sudah melaporkan masalah ini.
OpenLDAP
CVE-ID: CVE-2006-1470
Tersedia untuk: Mac OS X v10.4.6, Mac OS X Server v10.4.6
Dampak: Penyerang jarak jauh dapat menyebabkan server Open Directory gagal beroperasi
Deskripsi: Dengan menyusun permintaan LDAP yang tidak valid secara hati-hati, penyerang jarak jauh mungkin dapat memicu pernyataan di server OpenLDAP, mengakibatkan serangan denial-of-service. Pembaruan ini mengatasi masalah ini dengan membuang permintaan yang tidak valid. Masalah ini tidak berdampak pada sistem sebelum Mac OS X v10.4. Terima kasih kepada tim peneliti Keamanan Mu karena sudah melaporkan masalah ini.