Artikel ini telah diarsipkan dan tidak lagi diperbarui oleh Apple.

Mengenai Pembaruan Keamanan 2010-001

Dokumen ini menjelaskan Pembaruan Keamanan 2010-001, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Keamanan 2010-001

  • CoreAudio

    CVE-ID: CVE-2010-0036

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dampak: Memutar file audio mp4 perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam penanganan file audio mp4. Memutar file audio mp4 perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Tobias Klein dari trapkit.de karena telah melaporkan masalah ini.

  • CUPS

    CVE-ID: CVE-2009-3553

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dampak: Penyerang jarak jauh dapat menyebabkan penghentian aplikasi secara tiba-tiba untuk cupsd

    Deskripsi: Terdapat masalah penggunaan setelah bebas di cupsd. Dengan mengeluarkan permintaan dapatkan-tugas-printer perusak yang berbahaya, penyerang dapat menyebabkan penolakan layanan jarak jauh. Hal ini dimitigasi melalui pemulaian ulang cupsd secara otomatis setelah dihentikan. Masalah ini diatasi melalui pelacakan penggunaan koneksi yang ditingkatkan.

  • Flash Player plug-in

    CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dampak: Beberapa kerentanan di plug-in Adobe Flash Player

    Deskripsi: Terdapat beberapa masalah di plug-in Adobe Flash Player, di antaranya yang paling serius dapat menyebabkan eksekusi kode arbitrer saat melihat situs web perusak yang berbahaya. Masalah ini diatasi dengan memperbarui plug-in Flash Player ke versi 10.0.42. Informasi lebih lanjut tersedia melalui situs web Adobe di http://www.adobe.com/support/security/bulletins/apsb09-19.html Terima kasih kepada peneliti anonim dan Damian Put yang bekerja sama dengan Zero Day Initiative dari TippingPoints, Bing Liu dari Tim Riset Keamanan Global FortiGuard di Fortinet, Will Dormann dari CERT, Manuel Caballero, dan Microsoft Vulnerability Research (MSVR).

  • ImageIO

    CVE-ID: CVE-2009-2285

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Membuka gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kekurangan buffer saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.2.

  • Image RAW

    CVE-ID: CVE-2010-0037

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dampak: Membuka gambar DNG perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer saat Image RAW menangani gambar DNG. Membuka gambar DNG perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Jason Carr dari Carnegie Mellon University Computing Services karena telah melaporkan masalah ini.

  • OpenSSL

    CVE-ID: CVE-2009-3555

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2, Mac OS X Server v10.6.2

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengambil data atau mengubah operasi yang dilakukan dalam sesi yang dilindungi oleh SSL

    Deskripsi: Terdapat kerentanan man-in-the-middle (MiTM) dalam protokol SSL dan TLS. Informasi lebih lanjut tersedia di http://www.phonefactor.com/sslgap Perubahan terhadap protokol negosiasi ulang sedang berlangsung di dalam IETF. Pembaruan ini menonaktifkan negosiasi ulang dalam OpenSSL sebagai tindakan pencegahan untuk keamanan. Masalah ini tidak memengaruhi layanan yang menggunakan Secure Transport karena tidak mendukung negosiasi ulang. Terima kasih kepada Steve Dispensa dan Marsh Ray dari PhoneFactor, Inc. karena telah melaporkan masalah ini.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: