Mengenai konten keamanan Pembaruan Keamanan 2009-003/Mac OS X v10.5.8

Dokumen ini menjelaskan konten keamanan Pembaruan Keamanan 2009-003/Mac OS X v10.5.8 yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Keamanan 2009-003/Mac OS X v10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Melakukan dekompres terhadap data perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba

    Deskripsi: Terdapat akses memori di luar batas di bzip2. Membuka file terkompres yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba. Pembaruan ini mengatasi masalah tersebut dengan memperbarui bzip2 ke versi 1.0.5. Informasi lebih lanjut tersedia melalui situs web bzip2 di http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Situs web perusak yang berbahaya dapat mengontrol URL situs web yang ditampilkan di peringatan sertifikat

    Deskripsi: Saat Safari membuka situs web melalui pengalihan 302 dan peringatan sertifikat ditampilkan, peringatan tersebut akan memuat URL situs web asli, bukan URL situs web saat ini. Ini dapat memungkinkan situs web perusak yang dibuka melalui pengalih terbuka pada situs web yang dipercaya pengguna untuk mengontrol URL situs web yang ditampilkan di peringatan sertifikat. Masalah ini telah diatasi dengan mengembalikan URL yang benar di lapisan CFNetwork yang utama. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5. Terima kasih kepada Kevin Day dari Your.Org dan Jason Mueller dari Indiana University yang telah melaporkan masalah ini.

  • ColorSync

    CVE-ID: CVE-2009-1726

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menampilkan gambar perusak yang berbahaya dengan profil ColorSync yang tersemat dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat tumpukan kelebihan buffer dalam penanganan gambar dengan profil ColorSync yang tersemat. Membuka gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap profil ColorSync. Terima kasih kepada Chris Evans dari Google Security Team yang telah melaporkan masalah ini.

  • CoreTypes

    CVE-ID: CVE-2009-1727

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Pengguna tidak memperoleh peringatan sebelum membuka jenis konten tertentu yang berpotensi tidak aman

    Deskripsi: Pembaruan ini menambah daftar jenis konten pada sistem yang akan ditandai sebagai konten yang berpotensi tidak aman menurut situasi tertentu, misalnya konten yang diunduh dari halaman web. Meski jenis konten ini tidak diluncurkan secara otomatis, jika dibuka secara manual, konten ini dapat menyebabkan eksekusi muatan JavaScript berbahaya. Pembaruan ini meningkatkan kemampuan sistem untuk memberi tahu pengguna sebelum menangani jenis konten yang digunakan oleh Safari. Terima kasih kepada Brian Mastenbrook, dan Clint Ruoho dari Laconic Security yang telah melaporkan masalah ini.

  • Dock

    CVE-ID: CVE-2009-0151

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Seseorang yang dapat mengakses sistem yang terkunci secara fisik dapat menggunakan gestur Multi-Touch empat jari

    Deskripsi: Penghemat layar tidak memblokir gestur Multi-Touch empat jari, yang memungkinkan seseorang yang dapat mengakses sistem yang terkunci secara fisik untuk mengelola aplikasi atau menggunakan Expose. Pembaruan ini mengatasi masalah dengan memblokir gestur Multi-Touch saat penghemat layar sedang dijalankan. Masalah ini hanya memengaruhi sistem dengan trackpad Multi-Touch.

  • Image RAW

    CVE-ID: CVE-2009-1728

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menampilkan gambar RAW Canon perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat tumpukan kelebihan buffer dalam penanganan gambar RAW Canon. Membuka gambar RAW Canon perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Untuk sistem Mac OS X v10.4, masalah ini sudah diatasi dengan Pembaruan Kompatibilitas RAW Kamera Digital 2.6. Terima kasih kepada Chris Ries dari Carnegie Mellon University Computing Services yang telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2009-1722

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menampilkan gambar OpenEXR perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat tumpukan kelebihan buffer dalam penanganan gambar OpenEXR. Membuka gambar OpenEXR perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan memperbarui OpenEXR ke versi 1.6.1. Terima kasih kepada Lurene Grenier dari Sourcefire VRT, dan Chris Ries dari Carnegie Mellon University Computing Services yang telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2009-1721

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menampilkan gambar OpenEXR perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah akses memori yang tidak diinisialisasi dalam penanganan gambar OpenEXR oleh ImageIO. Membuka gambar OpenEXR perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui inisialisasi memori yang benar dan validasi tambahan terhadap gambar OpenEXR. Terima kasih kepada: Apple.

  • ImageIO

    CVE-ID: CVE-2009-1720

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menampilkan gambar OpenEXR perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat beberapa kelebihan bilangan bulat dalam penanganan gambar OpenEXR oleh ImageIO. Membuka gambar OpenEXR perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada: Apple.

  • ImageIO

    CVE-ID: CVE-2009-2188

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menampilkan gambar perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul dalam penanganan metadata EXIF oleh ImageIO. Membuka gambar perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.5.

  • ImageIO

    CVE-ID: CVE-2009-0040

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Pemrosesan gambar PNG perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah pointer yang tidak diinisialisasi muncul penanganan gambar PNG. Memproses gambar PNG perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap gambar PNG. Terima kasih kepada Tavis Ormandy dari Tim Keamanan Google karena telah melaporkan masalah ini.

  • Kernel

    CVE-ID: CVE-2009-1235

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Pengguna lokal dapat memperoleh hak istimewa sistem

    Deskripsi: Terdapat masalah implementasi dalam penanganan panggilan sistem fcntl oleh kernel. Pengguna lokal dapat menimpa memori kernel dan mengeksekusi kode arbitrer dengan hak istimewa sistem. Pembaruan ini mengatasi masalah tersebut melalui penanganan panggilan sistem fcntl yang ditingkatkan. Terima kasih kepada Razvan Musaloiu-E. Dari Johns Hopkins University, HiNRG yang telah melaporkan masalah ini.

  • launchd

    CVE-ID: CVE-2009-2190

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Membuka banyak koneksi ke layanan launchd berbasis inetd dapat menyebabkan penolakan layanan

    Deskripsi: Membuka banyak koneksi ke layanan launchd berbasis inetd dapat menyebabkan launchd berhenti menerima koneksi yang masuk ke layanan tersebut hingga sistem dimulai ulang. Pembaruan ini mengatasi masalah tersebut melalui penanganan kesalahan yang ditingkatkan.

  • Login Window

    CVE-ID: CVE-2009-2191

    Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Masalah string format dalam Login Window dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah string format dalam penanganan nama aplikasi oleh Login Window dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui penanganan nama aplikasi yang ditingkatkan. Terima kasih kepada Alfredo Pesoli dari 0xcafebabe.it yang telah melaporkan masalah ini.

  • MobileMe

    CVE-ID: CVE-2009-2192

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Keluar dari MobileMe tidak menghapus semua kredensial

    Deskripsi: Masalah logika muncul dalam panel preferensi MobileMe. Keluar dari panel preferensi tidak menghapus semua kredensial. Seseorang yang dapat mengakses akun pengguna lokal dapat terus mengakses sistem lain yang terkait dengan akun MobileMe yang sebelumnya digunakan untuk akun lokal tersebut. Pembaruan ini mengatasi masalah tersebut dengan menghapus semua kredensial saat keluar.

  • Networking

    CVE-ID: CVE-2009-2193

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Menerima paket respons AppleTalk perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa sistem atau pematian sistem yang tidak terduga

    Deskripsi: Terdapat kelebihan buffer dalam penanganan paket respons AppleTalk oleh kernel. Penerimaan paket respons AppleTalk perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa sistem atau pematian sistem yang tidak terduga. Pembaruan ini mengatasi masalah tersebut melalui validasi paket respons AppleTalk yang ditingkatkan. Terima kasih kepada Ilja van Sprundel dari IOActive yang telah melaporkan masalah ini.

  • Networking

    CVE-ID: CVE-2009-2194

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Pengguna lokal dapat menyebabkan pematian sistem yang tidak terduga

    Deskripsi: Terdapat masalah penyelarasan dalam penanganan berbagi deskriptor file melalui soket lokal. Dengan mengirim pesan yang berisi deskriptor file ke soket tanpa penerima, penggna lokal dapat menyebabkan pematian sistem yang tidak terduga. Pembaruan ini mengatasi masalah tersebut melalui penanganan berbagi deskriptor file yang ditingkatkan. Terima kasih kepada Bennet Yee dari Google Inc. yang telah melaporkan masalah ini.

  • XQuery

    CVE-ID: CVE-2008-0674

    Tersedia untuk: Mac OS X v10.5 hingga v10.5.7, Mac OS X Server v10.5 hingga v10.5.7

    Dampak: Pemrosesan konten XML perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam penanganan kelas karakter pada ekspresi reguler di perpustakaan Perl Compatible Regular Expressions (PCRE) yang digunakan oleh XQuery. Masalah ini memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui ekspresi reguler yang memuat kelas karakter dengan karakter berjumlah banyak dan poin kode Unicode yang melebihi 255. Pembaruan ini mengatasi masalah tersebut dengan memperbarui PCRE ke versi 7.6.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: