Mengenai konten keamanan Safari 4.0.3

Dokumen ini menjelaskan konten keamanan Safari 4.0.3.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Safari 4.0.3

  • CoreGraphics

    CVE-ID: CVE-2009-2468

    Tersedia untuk: Windows XP dan Vista

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi tumpukan kelebihan buffer pada gambar string teks yang panjang. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Will Drewry dari Google Inc. karena sudah melaporkan masalah ini.

  • ImageIO

    CVE ID: CVE-2009-2188

    Tersedia untuk: Windows XP dan Vista

    Dampak: Melihat gambar perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi kelebihan buffer saat menangani metadata EXIF. Melihat gambar perusak yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan.

  • Safari

    CVE-ID: CVE-2009-2196

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP dan Vista

    Dampak: Situs web perusak yang berbahaya dapat dipromosikan ke tampilan Situs Teratas Safari

    Deskripsi: Safari 4 memperkenalkan fitur Situs Teratas untuk memberikan tampilan sekilas situs web favorit pengguna. Ada kemungkinan bagi situs web berbahaya untuk mempromosikan situs arbitrer ke dalam tampilan Situs Teratas melalui tindakan otomatis. Hal ini dapat digunakan untuk memfasilitasi serangan phishing. Masalah ini diatasi dengan mencegah kunjungan situs web otomatis memengaruhi daftar Situs Teratas. Hanya situs web yang dikunjungi pengguna secara manual yang dapat disertakan dalam daftar Situs Teratas. Sebagai catatan, Safari mengaktifkan deteksi situs penipuan secara default. Sejak diperkenalkannya fitur Situs Teratas, situs penipuan tidak ditampilkan dalam tampilan Situs Teratas. Terima kasih kepada Inferno dari SecureThoughts.com karena telah melaporkan masalah ini.

  • WebKit

    CVE-ID: CVE-2009-2195

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP dan Vista

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi kelebihan buffer saat WebKit menguraikan angka titik apung. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada: Apple.

  • WebKit

    CVE-ID: CVE-2009-2200

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP dan Vista

    Dampak: Mengunjungi situs web perusak yang berbahaya dan mengeklik “Buka” saat melihat dialog plug-in berbahaya dapat menyebabkan pengungkapan informasi sensitif

    Deskripsi: WebKit mengizinkan atribut pluginspage dari elemen ‘semat’ untuk mereferensikan URL file. Mengeklik “Buka” pada dialog yang muncul ketika jenis plug-in yang tidak dikenal direferensikan akan mengalihkan ke URL yang tercantum dalam atribut pluginspage. Hal ini memungkinkan penyerang jarak jauh meluncurkan URL file di Safari, dan menyebabkan pengungkapan informasi sensitif. Pembaruan ini mengatasi masalah tersebut dengan membatasi skema URL pluginspage menjadi http atau https. Terima kasih kepada Alexios Fakos dari n.runs AG karena sudah melaporkan masalah ini.

  • WebKit

    CVE-ID: CVE-2009-2199

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP dan Vista

    Dampak: Karakter yang mirip dalam URL dapat digunakan untuk menyamarkan situs web

    Deskripsi: Dukungan International Domain Name (IDN) dan font Unicode yang tersemat di Safari dapat digunakan untuk membuat URL berisi karakter yang mirip. Hal ini dapat digunakan oleh situs web berbahaya untuk mengarahkan pengguna ke situs palsu yang tampilannya mirip dengan domain yang sah. Pembaruan ini mengatasi masalah tersebut dengan melengkapi daftar WebKit untuk karakter mirip yang diketahui. Karakter yang mirip dirender di Punycode dalam bar alamat. Terima kasih kepada Chris Weber dari Casaba Security, LLC yang telah melaporkan masalah ini.

Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: