Mengenai Pembaruan Keamanan 2009-005
Dokumen ini menjelaskan tentang Pembaruan Keamanan 2009-005.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
Pembaruan Keamanan 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Membuka file alias perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer dalam penanganan file alias. Membuka file alias perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Membuka file dengan fork sumber daya perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori di penanganan fork sumber daya oleh Resource Manager. Membuka file dengan resource fork perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui validasi resource fork yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
Tersedia untuk: Mac OS X Server v10.5.8
Dampak: Beberapa kerentanan di ClamAV 0.94.2
Deskripsi: Terdapat beberapa kerentanan di ClamAV 0.94.2, di antaranya yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah dengan memperbaru ClamAV ke versi 0.95.2. ClamAV hanya didistribusikan dengan sistem Mac OS X Server. Informasi lebih lanjut tersedia melalui situs web ClamAV di http://www.clamav.net/ Masalah ini tidak memengaruhi sistem Mac OS X v10.6.
ColorSync
CVE-ID: CVE-2009-2804
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Melihat gambar perusak yang berbahaya dengan profil ColorSync yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer bilangan bulat dalam penanganan gambar dengan profil ColorSync yang disematkan dapat menyebabkan kelebihan buffer tumpukan. Membuka gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan terhadap profil ColorSync. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Membuka file PDF perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer bilangan bulat dalam penanganan file PDF dapat menyebabkan kelebihan buffer tumpukan oleh CoreGraphics. Membuka file PDF yang memuat stream JBIG2 perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Will Dormann dari CERT/CC karena sudah melaporkan masalah ini. Masalah ini tidak memengaruhi sistem Mac OS X v10.6.
CoreGraphics
CVE-ID: CVE-2009-2468
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer tumpukan dalam penggambaran string teks panjang. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada Will Drewry dari Google Inc. karena sudah melaporkan masalah ini.
CUPS
CVE-ID: CVE-2009-0949
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Penyerang jarak jauh dapat menolak akses ke layanan Berbagi Printer
Deskripsi: Terdapat dereferensi penunjuk null di CUPS. Dengan mengirim berulang kali permintaan penjadwal perusak yang berbahaya, penyerang jarak jauh dapat menolak akses ke layanan Berbagi Printer. Pembaruan ini mengatasi masalah melalui validasi permintaan penjadwal yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada Anibal Sacco dari CORE IMPACT Exploit Writing Team (EWT) di Core Security Technologies karena sudah melaporkan masalah ini.
CUPS
CVE-ID: CVE-2009-2807
Tersedia di: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Pengguna lokal tanpa hak istimewa bisa memperoleh hak istimewa sistem
Deskripsi: Terdapat kelebihan buffer tumpukan di backend USB CUPS. Hal ini dapat memungkinkan pengguna lokal untuk mendapatkan hak istimewa sistem. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum sistem Mac OS X v10.5 atau Mac OS X v10.6.
Flash Player plug-in
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Beberapa kerentanan di plug-in Adobe Flash Player
Deskripsi: Terdapat beberapa masalah di plug-in Adobe Flash Player, di antaranya yang paling serius dapat menyebabkan eksekusi kode arbitrer saat melihat situs web perusak yang berbahaya. Masalah ini diatasi dengan memperbarui plug-in Flash Player di sistem Mac OS v10.5.8 ke versi 10.0.32.18, dan ke versi 9.0.246.0 di sistem Mac OS X v10.4.11. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.1. Informasi lebih lanjut tersedia melalui situs web Adobe di http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Menampilkan gambar TIFF perusak yang berbahaya berenkode PixarFilm dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat sejumlah masalah kerusakan memori pada penanganan gambar TIFF berenkode PixarFilm oleh ImageIO. Menampilkan gambar TIFF perusak yang berbahaya berenkode PixarFilm dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah melalui validasi tambahan atas gambar TIFF berenkode PixarFilm. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.
Launch Services
CVE-ID: CVE-2009-2811
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Percobaan membuka konten tidak aman yang diunduh mungkin tidak menyebabkan peringatan
Deskripsi: Pembaruan ini menambahkan '.fileloc' ke daftar jenis konten sistem yang akan ditandai sebagai berpotensi berbahaya dalam keadaan tertentu, seperti jika diunduh dari e-mail. Meskipun jenis konten ini tidak dibuka secara otomatis, membukanya secara manual dapat mengakibatkan eksekusi muatan berbahaya. Pembaruan ini meningkatkan kemampuan sistem untuk memberi tahu pengguna sebelum menangani file '.fileloc'. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.
Launch Services
CVE-ID: CVE-2009-2812
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8
Dampak: Mengunjungi situs web perusak dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Saat aplikasi diunduh, Layanan Peluncuran menganalisis jenis-jenis dokumennya yang diekspor. Masalah desain dalam penanganan jenis-jenis dokumen yang diekspor dapat menyebabkan Layanan Peluncuran mengasosiasikan ekstensi file aman dengan Uniform Type Identifier (UTI) yang tidak aman. Mengunjungi situs web perusak dapat menyebabkan jenis file yang tidak aman dibuka secara otomatis. Pembaruan ini mengatasi masalah melalui peningkatan penanganan jenis dokumen yang diekspor dari aplikasi yang tidak dipercaya. Masalah ini tidak memengaruhi sistem sebelum sistem Mac OS X v10.5 atau Mac OS X v10.6. Terima kasih kepada: Apple.
MySQL
CVE-ID: CVE-2008-2079
Tersedia untuk: Mac OS X Server v10.5.8
Dampak: MySQL diperbarui ke versi 5.0.82
Deskripsi: MySQL diperbarui ke versi 5.0.82 untuk mengatasi masalah penerapan yang mengizinkan pengguna lokal memperoleh hak istimewa yang lebih tinggi. Masalah ini hanya memengaruhi sistem Mac OS X Server. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Informasi lebih lanjut tersedia melalui situs web MySQL di http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
Tersedia untuk: Mac OS X v10.5, Mac OS X Server v10.5.8
Dampak: Sejumlah kerentanan dalam PHP 5.2.8
Deskripsi: PHP diperbarui ke versi 5.2.10 untuk mengatasi sejumlah kerentanan, di antaranya yang paling serius dapat menyebabkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net/ Masalah ini tidak memengaruhi sistem Mac OS X v10.6.
SMB
CVE-ID: CVE-2009-2813
Tersedia untuk: Mac OS v10.5.8, Mac OS X Server v10.5.8
Dampak: Mengaktifkan Berbagi File Windows dapat membagikan folder secara tidak terduga
Deskripsi: Terdapat kondisi kesalahan yang lolos pemeriksaan di Samba. Pengguna yang tidak memiliki direktori home yang dikonfigurasi, dan menyambung ke layanan Berbagi File Windows akan dapat mengakses konten sistem file, bergantung pada izin sistem file lokal. Pembaruan ini mengatasi masalah dengan meningkatkan penanganan kesalahan penyelesaian. Masalah ini tidak memengaruhi sistem sebelum sistem Mac OS X v10.5 atau Mac OS X v10.6. Terima kasih kepada J. David Hester dari LCG Systems National Institutes of Health karena sudah melaporkan masalah ini.
Wiki Server
CVE-ID: CVE-2009-2814
Tersedia untuk: Mac OS X Server v10.5.8
Dampak: Penyerang jarak jauh dapat memperoleh akses ke akun pengguna Wiki Server
Deskripsi: Terdapat masalah skripting lintas situs dalam penanganan permintaan pencarian yang memuat data berenkode non-UTF-8 oleh Wiki Server. Hal ini dapat mengizinkan penyerang jarak jauh mengakses server wiki dengan kredensial pengguna Wiki Server yang melakukan pencarian. Pembaruan ini mengatasi masalah dengan menetapkan UTF-8 sebagai set karakter default di respons HTTP. Masalah ini tidak memengaruhi sistem sebelum sistem Mac OS X v10.5 atau Mac OS X v10.6. Terima kasih kepada: Apple.
Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.