Mengenai konten keamanan Pembaruan Keamanan 2009-001
Dokumen ini menjelaskan Pembaruan Keamanan 2009-001, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
Pembaruan Keamanan 2009-001
Server AFP
ID CVE: CVE-2009-0142
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Pengguna dengan kemampuan untuk menghubungkan ke Server AFP dapat memicu penolakan layanan
Deskripsi: Kondisi pacu di Server AFP dapat mengakibatkan perulangan tak terbatas. Menghitung file di server AFP dapat mengakibatkan penolakan layanan. Pembaruan ini mengatasi masalah tersebut melalui logika enumerasi file yang ditingkatkan. Masalah ini hanya memengaruhi sistem yang menjalankan Mac OS X v10.5.6.
Apple Pixlet Video
ID CVE: CVE-2009-0009
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul dalam penanganan file film menggunakan codec Pixlet. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada: Apple.
CarbonCore
ID CVE: CVE-2009-0020
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Membuka file dengan resource fork perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul dalam penanganan Manajer Sumber Daya untuk resource fork. Membuka file dengan resource fork perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui validasi resource fork yang ditingkatkan. Terima kasih kepada: Apple.
CFNetwork
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Mengembalikan pengoperasian cookie yang benar dengan waktu kedaluwarsa nol
Deskripsi: Pembaruan ini mengatasi regresi non-keamanan yang diperkenalkan di Mac OS X 10.5.6. Cookie mungkin tidak diatur dengan benar jika situs web mencoba mengatur cookie sesi dengan memberikan nilai nol di kolom “kedaluwarsa”, bukan menghilangkan kolom tersebut. Pembaruan ini mengatasi masalah tersebut dengan mengabaikan kolom “kedaluwarsa” jika nilainya nol.
CFNetwork
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Mengembalikan pengoperasian cookie sesi yang benar di seluruh aplikasi
Deskripsi: Pembaruan ini mengatasi regresi non-keamanan yang diperkenalkan di Mac OS X 10.5.6. CFNetwork mungkin tidak menyimpan cookie ke disk jika beberapa aplikasi yang terbuka mencoba mengatur cookie sesi. Pembaruan ini mengatasi masalah tersebut dengan memastikan bahwa setiap aplikasi menyimpan cookie sesinya secara terpisah.
Certificate Assistant
ID CVE: CVE-2009-0011
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Pengguna lokal dapat memanipulasi file dengan hak istimewa pengguna lain yang menjalankan Certificate Assistant
Deskripsi: Ada pengoperasian file yang tidak aman dalam penanganan Certificate Assistant terhadap file sementara. Hal ini dapat mengizinkan pengguna lokal untuk menimpa file dengan hak istimewa pengguna lain yang menjalankan Certificate Assistant. Pembaruan ini mengatasi masalah tersebut melalui penanganan file sementara yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada: Apple.
ClamAV
ID CVE: CVE-2008-5050, CVE-2008-5314
Tersedia untuk: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Dampak: beberapa kerentanan di ClamAV 0.94
Deskripsi: Beberapa kerentanan muncul di ClamAV 0.94, kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan memperbarui ClamAV ke versi 0.94.2. ClamAV hanya didistribusikan dengan sistem Mac OS X Server. Informasi lebih lanjut dapat diakses melalui situs web ClamAV di http://www.clamav.net/
CoreText
ID CVE: CVE-2009-0012
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Menampilkan konten Unicode perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Tumpukan kelebihan buffer dapat terjadi saat memproses string Unicode di CoreText. Menggunakan CoreText untuk menangani string Unicode perusak yang berbahaya, seperti saat menampilkan halaman web perusak yang berbahaya, dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada Rosyna dari Unsanity karena telah melaporkan masalah ini.
CUPS
ID CVE: CVE-2008-5183
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba
Deskripsi: Melebihi jumlah maksimum langganan RSS dapat mengakibatkan dereferensi pointer nol di antarmuka web CUPS. Hal ini dapat mengakibatkan penghentian aplikasi secara tiba-tiba saat mengunjungi situs web perusak yang berbahaya. Untuk memicu masalah ini, kredensial pengguna yang valid harus diketahui oleh penyerang atau di-cache di browser web. CUPS akan otomatis dimulai ulang setelah masalah ini dipicu. Pembaruan ini mengatasi masalah tersebut dengan menangani jumlah langganan RSS dengan benar. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5.
DS Tools
ID CVE: CVE-2009-0013
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Kata sandi yang diberikan ke dscl diekspos ke pengguna lokal lainnya
Deskripsi: Alat baris perintah dscl mewajibkan kata sandi tersebut diteruskan di argumennya, yang berpotensi mengekspos kata sandi ke pengguna lokal lainnya. Kata sandi yang diekspos termasuk kata sandi untuk pengguna dan administrator. Pembaruan ini membuat parameter kata sandi menjadi opsional, dan dscl akan meminta kata sandi jika diperlukan. Terima kasih kepada: Apple.
fetchmail
ID CVE: CVE-2007-4565, CVE-2008-2711
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Beberapa kerentanan di fetchmail 6.3.8
Deskripsi: Beberapa kerentanan muncul di fetchmail 6.3.8, kerentanan yang paling serius dapat mengakibatkan penolakan layanan. Pembaruan ini mengatasi masalah tersebut dengan memperbarui ke versi 6.3.9. Informasi lebih lanjut dapat diakses melalui situs web fetchmail di http://fetchmail.berlios.de/
Folder Manager
ID CVE: CVE-2009-0014
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Pengguna lokal lain dapat mengakses folder Unduhan
Deskripsi: Masalah izin default muncul di Folder Manager. Saat pengguna menghapus folder Unduhan mereka dan Folder Manager membuatnya kembali, folder tersebut dibuat dengan izin baca untuk semua orang. Pembaruan ini mengatasi masalah tersebut dengan membatasi izin Folder Manager agar folder tersebut hanya dapat diakses oleh pengguna yang bersangkutan. Masalah ini hanya memengaruhi aplikasi yang menggunakan Folder Manager. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada Graham Perrin dari CENTRIM, University of Brighton karena telah melaporkan masalah ini.
FSEvents
ID CVE: CVE-2009-0015
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Menggunakan kerangka kerja FSEvents, pengguna lokal dapat melihat aktivitas filesystem yang seharusnya tidak tersedia
Deskripsi: Masalah manajemen kredensial muncul di fseventsd. Dengan menggunakan kerangka kerja FSEvents, pengguna lokal dapat melihat aktivitas filesystem yang seharusnya tidak tersedia. Ini termasuk nama direktori yang seharusnya tidak dapat dilihat pengguna tersebut, dan deteksi aktivitas di direktori pada waktu tertentu. Pembaruan ini mengatasi masalah tersebut melalui validasi kredensial yang ditingkatkan di fseventsd. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada Mark Dalrymple karena telah melaporkan masalah ini.
Network Time
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Konfigurasi layanan Network Time telah diperbarui
Deskripsi: Sebagai tindakan keamanan proaktif, pembaruan ini mengubah konfigurasi default untuk layanan Network Time. Informasi versi dan waktu sistem tidak lagi tersedia dalam konfigurasi ntpd default. Di sistem Mac OS X v10.4.11, konfigurasi baru berlaku setelah sistem dimulai ulang saat layanan Network Time diaktifkan.
perl
ID CVE: CVE-2008-1927
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Menggunakan ekspresi reguler yang berisi karakter UTF-8 dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul dalam penanganan karakter UTF-8 tertentu di ekspresi reguler. Menguraikan ekspresi reguler perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan menerapkan validasi tambahan terhadap ekspresi reguler.
Printing
ID CVE: CVE-2009-0017
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Pengguna lokal bisa mendapatkan hak istimewa sistem
Deskripsi: Masalah penanganan kesalahan muncul di csregprinter, yang mengakibatkan tumpukan kelebihan buffer. Hal ini dapat memungkinkan pengguna lokal untuk mendapatkan hak istimewa sistem. Pembaruan ini mengatasi masalah tersebut melalui penanganan kesalahan yang ditingkatkan. Terima kasih kepada Lars Haulin karena telah melaporkan masalah ini.
python
ID CVE: CVE-2008-1679, CVE-2008-1721, CVE-2008-1887, CVE-2008-2315, CVE-2008-2316, CVE-2008-3142, CVE-2008-3144, CVE-2008-4864, CVE-2007-4965, CVE-2008-5031
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Beberapa kerentanan di python
Deskripsi: Beberapa kerentanan muncul di python, kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan menerapkan patch dari proyek python.
Remote Apple Events
ID CVE: CVE-2009-0018
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Mengirimkan Remote Apple Events akan mengakibatkan pengungkapan informasi sensifit
Deskripsi: Masalah buffer yang tidak diinisialisasi muncul di server Remote Apple Events, yang dapat mengakibatkan pengungkapan konten memori ke klien jaringan. Pembaruan ini mengatasi masalah tersebut melalui inisialisasi memori yang benar. Terima kasih kepada: Apple.
Remote Apple Events
ID CVE: CVE-2009-0019
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Mengaktifkan Remote Apple Events dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau pengungkapan informasi sensitif
Deskripsi: Ada akses memori di luar batas di Remote Apple Events. Mengaktifkan Remote Apple Events dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau pengungkapan informasi sensitif ke klien jaringan. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada: Apple.
Safari RSS
ID CVE: CVE-2009-0137
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Mengakses umpan perusak yang berbahaya: URL dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah validasi input muncul dalam penanganan Safari terhadap umpan: URL. Masalah tersebut memungkinkan eksekusi JavaScript arbitrer di zona keamanan lokal. Pembaruan ini mengatasi masalah tersebut melalui peningkatan penanganan JavaScript yang tersemat di dalam umpan: URL. Terima kasih kepada Clint Ruoho dari Laconic Security, Billy Rios dari Microsoft, dan Brian Mastenbrook karena telah melaporkan masalah ini.
servermgrd
ID CVE: CVE-2009-0138
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Penyerang dari jarak jauh dapat mengakses Server Manager tanpa kredensial yang valid
Deskripsi: Masalah di validasi Server Manager untuk kredensial autentikasi dapat memungkinkan penyerang dari jarak jauh untuk mengubah konfigurasi sistem. Pembaruan ini mengatasi masalah tersebut melalui validasi kredensial autentikasi tambahan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada: Apple.
SMB
ID CVE: CVE-2009-0139
Tersedia untuk: Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Menghubungkan ke sistem file SMB perusak yang berbahaya dapat mengakibatkan sistem mati secara tiba-tiba atau kode eksekusi arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan bilangan bulat di Sistem File SMB dapat mengakibatkan tumpukan kelebihan buffer. Menghubungkan ke sistem file SMB perusak yang berbahaya dapat mengakibatkan sistem mati secara tiba-tiba atau kode eksekusi arbitrer dengan hak istimewa sistem Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada: Apple.
SMB
ID CVE: CVE-2009-0140
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Menghubungkan ke server file SMB perusak yang berbahaya dapat mengakibatkan sistem mati secara tiba-tiba
Deskripsi: Masalah kehabisan memori muncul dalam penanganan Sistem File SMB terhadap nama sistem file. Menghubungkan ke server file SMB perusak yang berbahaya dapat mengakibatkan sistem mati secara tiba-tiba. Pembaruan ini mengatasi masalah tersebut dengan membatasi jumlah memori yang dialokasikan oleh klien untuk nama sistem file. Terima kasih kepada: Apple.
SquirrelMail
ID CVE: CVE-2008-2379, CVE-2008-3663
Tersedia untuk: Mac OS X Server v10.4.11, Mac OS X Server v10.5.6
Dampak: Beberapa kerentanan di SquirrelMail
Deskripsi: SquirrelMail diperbarui ke versi 1.4.17 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius adalah masalah skrip lintas situs. Informasi lebih lanjut tersedia melalui situs web SquirrelMail di http://www.SquirrelMail.org/
X11
ID CVE: CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Beberapa kerentanan di server X11
Deskripsi: Beberapa kerentanan muncul di server X11. Kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa pengguna yang menjalankan server X11, jika penyerang dapat mengautentikasi ke server X11. Pembaruan ini mengatasi masalah tersebut dengan menerapkan patch X.Org yang diperbarui. Informasi lebih lanjut dapat diakses melalui situs web X.Org di http://www.x.org/wiki/Development/Security
X11
ID CVE: CVE-2006-1861, CVE-2006-3467, CVE-2007-1351, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Dampak: Beberapa kerentanan di FreeType v2.1.4
Deskripsi: Beberapa kerentanan muncul di FreeType v2.1.4, kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer saat memproses font perusak yang berbahaya. Pembaruan ini mengatasi masalah tersebut dengan menggabungkan perbaikan keamanan dari FreeType versi 2.3.6. Informasi lebih lanjut dapat diakses melalui situs FreeType di http://www.freetype.org/ Masalah tersebut telah diatasi di sistem yang menjalankan Mac OS X v10.5.6.
X11
ID CVE: CVE-2007-1351, CVE-2007-1352, CVE-2007-1667
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11
Dampak: Beberapa kerentanan di LibX11
Deskripsi: Beberapa kerentanan muncul di LibX11, kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer saat memproses font perusak yang berbahaya. Pembaruan ini mengatasi masalah tersebut dengan menerapkan patch X.Org yang diperbarui. Informasi lebih lanjut dapat diakses melalui situs web X.Org di http://www.x.org/wiki/Development/Security Masalah tersebut tidak memengaruhi sistem yang menjalankan Mac OS X v10.5 atau versi lebih baru.
XTerm
ID CVE: CVE-2009-0141
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6
Dampak: Pengguna lokal dapat mengirimkan informasi langsung ke Xterm pengguna lain
Deskripsi: Masalah izin muncul di Xterm. Jika digunakan dengan luit, Xterm membuat perangkat tty yang dapat diakses oleh semua orang. Pembaruan ini mengatasi masalah tersebut dengan membatasi izin Xterm agar perangkat tty hanya dapat diakses oleh pengguna yang bersangkutan.
Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.