Mengenai konten keamanan Safari 4.0.4
Dokumen ini menjelaskan konten keamanan Safari 4.0.4.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
Safari 4.0.4
ColorSync
CVE-ID: CVE-2009-2804
Tersedia untuk: Windows 7, Vista, XP
Dampak: Melihat gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan bilangan bulat dalam penanganan gambar dengan profil warna yang disematkan, yang dapat menyebabkan kelebihan buffer tumpukan. Membuka gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk profil warna. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Masalah ini telah diatasi di Pembaruan Keamanan 2009-005 untuk sistem Mac OS X 10.5.8. Terima kasih kepada: Apple.
libxml
CVE-ID: CVE-2009-2414, CVE-2009-2416
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Windows 7, Vista, XP
Dampak: Menguraikan konten XML perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba
Deskripsi: Terdapat beberapa masalah use-after-free di libxml2, di antaranya yang paling serius dapat menyebabkan penghentian aplikasi secara tiba-tiba. Pembaruan ini mengatasi masalah tersebut melalui penanganan memori yang ditingkatkan. Masalah ini telah diatasi di Mac OS X 10.6.2 dan di Pembaruan Keamanan 2009-006 untuk sistem Mac OS X 10.5.8.
Safari
CVE-ID: CVE-2009-2842
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 dan v10.6.2, Mac OS X Server v10.6.1 dan v10.6.2, Windows 7, Vista, XP
Dampak: Menggunakan pilihan menu di dalam situs web perusak yang berbahaya dapat menyebabkan pengungkapan informasi lokal
Deskripsi: Terdapat masalah saat Safari menangani navigasi yang dimulai melalui pilihan menu pintasan “Buka Gambar di Tab Baru”, “Buka Gambar di Jendela Baru”, atau “Buka Tautan di Tab Baru”. Menggunakan pilihan ini di dalam situs web perusak yang berbahaya dapat memuat file HTML lokal, yang mengakibatkan pengungkapan informasi rahasia. Masalah ini diatasi dengan menonaktifkan pilihan menu pintasan yang tercantum apabila target tautan berupa file lokal.
WebKit
CVE-ID: CVE-2009-2816
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 dan v10.6.2, Mac OS X Server v10.6.1 dan v10.6.2, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan tindakan yang tidak diharapkan di situs web lain
Deskripsi: Terdapat masalah dalam penerapan Berbagi Sumber Daya Lintas Asal di WebKit. Sebelum mengizinkan halaman dari suatu asal mengakses sumber daya di asal lain, WebKit mengirimkan permintaan preflight ke server yang terakhir disebutkan untuk mengakses sumber daya. WebKit mencakup header HTTP khusus yang ditentukan oleh halaman yang meminta dalam permintaan preflight. Hal ini dapat memfasilitasi pemalsuan permintaan lintas situs. Masalah ini diatasi dengan menghapus header HTTP khusus dari permintaan preflight. Terima kasih kepada: Apple.
WebKit
CVE-ID: CVE-2009-3384
Tersedia untuk: Windows 7, Vista, XP
Dampak: Mengakses server FTP perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba, pengungkapan informasi, atau eksekusi kode arbitrer
Deskripsi: Terdapat sejumlah kerentanan dalam penanganan daftar direktori FTP di WebKit. Mengakses server FTP perusak yang berbahaya dapat menyebabkan pengungkapan informasi, penghentian aplikasi secara tiba-tiba, atau eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui peningkatan penguraian daftar direktori FTP. Masalah ini tidak memengaruhi Safari di sistem Mac OS X. Terima kasih kepada Michal Zalewski dari Google Inc. karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2009-2841
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 dan v10.6.2, Mac OS X Server v10.6.1 dan v10.6.2
Dampak: Mail dapat memuat konten audio dan video jarak jauh saat pemuatan gambar jarak jauh dinonaktifkan
Deskripsi: Saat WebKit menemukan Elemen Media HTML 5 yang mengarah ke sumber daya eksternal, WebKit tidak mengeluarkan callback pemuatan untuk menentukan apakah sumber daya akan dimuat. Hal ini dapat menyebabkan pengiriman permintaan yang tidak diinginkan ke server jarak jauh. Sebagai contoh, pengirim pesan email berformat HTML dapat memanfaatkan hal ini untuk menentukan pesan sudah dibaca. Masalah ini diatasi dengan membuat callback pemuatan sumber daya saat WebKit menemukan Elemen Media HTML 5. Masalah ini tidak memengaruhi Safari di sistem Windows.
Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.