Mengenai konten keamanan Pembaruan Mac OS X 10.4.8 dan Pembaruan Keamanan 2006-006

Dokumen ini menjelaskan Pembaruan Keamanan 2006-006 dan konten keamanan Pembaruan Mac OS X 10.4.8, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple.”

Mac OS X v10.4.8 dan Pembaruan Keamanan 2006-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Klien CFNetwork seperti Safari mungkin dapat mengizinkan situs SSL yang tidak diautentikasi untuk muncul sebagai situs yang diautentikasi

    Deskripsi: Koneksi yang dibuat menggunakan SSL biasanya diautentikasi dan dienkripsi. Saat enkripsi dilakukan tanpa autentikasi, situs berbahaya mungkin dapat tampil sebagai situs tepercaya. Dalam kasus Safari, ini dapat menyebabkan munculnya ikon gembok saat identitas situs jarak jauh tidak dapat dipercaya. Pembaruan ini mengatasi masalah tersebut dengan melarang koneksi SSL anonim secara default. Terima kasih kepada Adam Bryzak dari Queensland University of Technology karena sudah melaporkan masalah ini.

  • Flash Player

    CVE-ID: CVE-2006-3311, CVE-2006-3587, CVE-2006-3588, CVE-2006-4640

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Pemutaran konten Flash dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Adobe Flash Player memuat kerentanan penting yang dapat menyebabkan eksekusi kode arbitrer saat menangani konten perusak yang berbahaya. Pembaruan ini mengatasi masalah tersebut dengan menggabungkan Flash Player versi 9.0.16.0 pada Mac OS X v10.3.9 dan Flash Player versi 9.0.20.0 pada sistem Mac OS X v10.4.

    Informasi lebih lanjut tersedia di situs web Adobe http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    CVE-ID: CVE-2006-4391

    Tersedia untuk: Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Melihat gambar JPEG2000 perusak yang berbahaya dapat menyebabkan kemacetan app atau eksekusi kode arbitrer

    Deskripsi: Dengan membuat gambar JPEG2000 perusak dengan saksama, penyerang dapat memicu kelebihan buffer, yang dapat menyebabkan kemacetan app atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap gambar JPEG2000. Masalah ini tidak terjadi pada sistem sebelum Mac OS X v10.4. Terima kasih kepada Tom Saxton dari Idle Loop Software Design karena telah melaporkan masalah ini.

  • Kernel

    CVE-ID: CVE-2006-4392

    Tersedia untuk: Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Pengguna lokal mungkin dapat menjalankan kode arbitrer dengan hak istimewa yang ditingkatkan

    Deskripsi: Kesalahan saat menangani mekanisme di kernel, yang dikenal sebagai port pengecualian Mach, memberikan kemampuan untuk mengontrol program ketika jenis kesalahan tertentu muncul. Pengguna lokal yang berbahaya dapat menggunakan mekanisme ini untuk menjalankan kode arbitrer dalam program yang memiliki hak istimewa jika kesalahan muncul. Pembaruan ini mengatasi masalah tersebut dengan membatasi akses ke port pengecualian Mach bagi program yang memiliki hak istimewa. Terima kasih kepada Dino Dai Zovi dari Matasano Security karena telah melaporkan masalah ini.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    Tersedia untuk: Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Setelah gagal masuk ke akun jaringan, tiket Kerberos mungkin dapat diakses oleh pengguna lokal lain

    Deskripsi: Karena kondisi kesalahan yang lolos pemeriksaan, tiket Kerberos mungkin tidak hancur dengan benar setelah upaya masuk ke akun jaringan via loginwindow gagal. Ini dapat mengakibatkan pengguna lokal lain mengakses tiket Kerberos pengguna sebelumnya secara tidak sah. Pembaruan ini mengatasi masalah tersebut dengan menghapus cache kredensial setelah upaya masuk akun gagal. Masalah ini tidak terjadi pada sistem sebelum Mac OS X v10.4. Terima kasih kepada Patrick Gallagher dari Digital Peaks Corporation yang telah melaporkan masalah ini.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    Tersedia untuk: Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Tiket Kerberos mungkin dapat diakses oleh pengguna lokal lain jika Pengalihan Pengguna Cepat diaktifkan

    Deskripsi: Kesalahan saat menangani Pengalihan Pengguna Cepat dapat mengizinkan pengguna lokal mengakses tiket Kerberos dari pengguna lokal lain. Pengalihan Pengguna Cepat telah diperbarui untuk menghindari situasi ini. Masalah ini tidak terjadi pada sistem sebelum Mac OS X v10.4. Terima kasih kepada Ragnar Sundblad dari Royal Institute of Technology, Stockholm, Swedia karena telah melaporkan masalah ini.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    Tersedia untuk: Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Akun jaringan mungkin dapat melewati kontrol akses layanan loginwindow

    Deskripsi: Kontrol akses layanan dapat digunakan untuk membatasi pengguna yang diizinkan masuk ke sistem melalui loginwindow. Kesalahan logika pada loginwindow memungkinkan akun jaringan tanpa GUID melewati kontrol akses layanan. Masalah ini hanya terjadi pada sistem yang telah dikonfigurasi untuk menggunakan kontrol akses layanan bagi loginwindow dan untuk mengizinkan akun jaringan mengautentikasi pengguna tanpa GUID. Masalah ini telah diatasi dengan penanganan kontrol akses layanan yang benar pada loginwindow. Masalah ini tidak terjadi pada sistem sebelum Mac OS X v10.4.

  • Preferences

    CVE-ID: CVE-2006-4387

    Tersedia untuk: Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Setelah hak istimewa Adminnya dihapus, akun masih dapat mengelola app WebObjects

    Deskripsi: Meski centang pada kotak “Izinkan pengguna mengatur komputer ini” dihapus, akun mungkin masih tidak terhapus dari grup appserveradm atau appserverusr. Grup ini memungkinkan akun mengelola app WebObjects. Pembaruan ini mengatasi masalah tersebut dengan memastikan akun terhapus dari grup yang bersangkutan. Masalah ini tidak terjadi pada sistem sebelum Mac OS X v10.4. Terima kasih kepada Phillip Tejada dari Fruit Bat Software karena telah melaporkan masalah ini.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Membuka gambar PICT yang berbahaya dengan app tertentu dapat menyebabkan kemacetan app atau eksekusi kode arbitrer

    Deskripsi: App tertentu menjalankan operasi QuickDraw yang tidak didukung untuk menampilkan gambar PICT. Dengan membuat gambar PICT perusak dengan saksama, penyerang dapat memicu kerusakan memori pada app ini, yang dapat menyebabkan kemacetan app atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan mencegah operasi yang tidak didukung.

  • SASL

    CVE-ID: CVE-2006-1721

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Penyerang jarak jauh mungkin dapat menyebabkan penolakan layanan server IMAP

    Deskripsi: Masalah pada dukungan negosiasi DIGEST-MD5 di Cyrus SASL dapat mengakibatkan kegagalan segmentasi di server IMAP dengan header realm perusak yang berbahaya. Pembaruan ini mengatasi masalah tersebut melalui penanganan header realm yang ditingkatkan dalam percobaan autentikasi.

  • WebCore

    CVE-ID: CVE-2006-3946

    Tersedia untuk: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4 hingga Mac OS X v10.4.7, Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Melihat halaman web perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Kesalahan manajemen memori dalam penanganan HTML tertentu di WebKit dapat memungkinkan situs web yang berbahaya menyebabkan kemacetan atau kemungkinan eksekusi kode arbitrer saat pengguna melihat situs tersebut. Pembaruan ini mengatasi masalah tersebut dengan mencegah kondisi yang menyebabkan masalah kelebihan. Terima kasih kepada Jens Kutilek dari Netzallee, Lurene Grenier - Senior Research Engineer di Sourcefire VRT, dan Jose Avila III - Security Analyst di ONZRA karena telah melaporkan masalah ini.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    Tersedia untuk: Mac OS X Server v10.4 hingga Mac OS X Server v10.4.7

    Dampak: Akun di perusahaan induk NetInfo yang sepertinya menggunakan kata sandi ShadowHash mungkin masih menggunakan enkripsi

    Deskripsi: Workgroup Manager sepertinya mengizinkan perubahan jenis autentikasi dari enkripsi menjadi kata sandi ShadowHash di perusahaan induk NetInfo, meski sebenarnya tidak demikian. Menyegarkan tampilan akun di perusahaan induk NetInfo akan menunjukkan dengan tepat bahwa enkripsi masih digunakan. Pembaruan ini mengatasi masalah tersebut dengan melarang administrator memilih kata sandi ShadowHash untuk akun di perusahaan induk NetInfo. Terima kasih kepada Chris Pepper dari The Rockefeller University karena telah melaporkan masalah ini.

Catatan instalasi

Pembaruan Perangkat Lunak akan menampilkan pembaruan yang dapat digunakan untuk konfigurasi sistem Anda. Hanya satu yang diperlukan.

Pembaruan Keamanan 2006-006 akan diinstal di sistem Mac OS X v10.3.9 dan Mac OS X Server v10.3.9.

Mac OS X v10.4.8 dilengkapi perbaikan keamanan yang terdapat pada Pembaruan Keamanan 2006-006 dan akan diinstal pada sistem Mac OS X v10.4 atau versi lebih baru serta Mac OS X Server v10.4 atau versi lebih baru.

Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: