Mengenai konten keamanan Safari 4.0.5
Dokumen ini menjelaskan konten keamanan Safari 4.0.5.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
Safari 4.0.5
ColorSync
CVE-ID: CVE-2010-0040
Tersedia untuk: Windows 7, Vista, XP
Dampak: Melihat gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan bilangan bulat yang dapat menyebabkan kelebihan tumpukan buffer dalam penanganan gambar dengan profil warna yang disematkan. Membuka gambar perusak yang berbahaya dengan profil warna yang disematkan dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk profil warna. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Sebastien Renaud dari VUPEN Vulnerability Research Team karena telah melaporkan masalah ini.
ImageIO
CVE-ID: CVE-2009-2285
Tersedia untuk: Windows 7, Vista, XP
Dampak: Membuka gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kekurangan buffer saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.2. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2010-001.
ImageIO
CVE-ID: CVE-2010-0041
Tersedia untuk: Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut
Deskripsi: Terdapat masalah akses memori tanpa dimulai saat ImageIO menangani gambar BMP. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan penanganan memori dan validasi tambahan untuk gambar BMP. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec karena telah melaporkan masalah ini.
ImageIO
CVE-ID: CVE-2010-0042
Tersedia untuk: Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut
Deskripsi: Terdapat masalah akses memori tanpa dimulai saat ImageIO menangani gambar TIFF. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan penanganan memori dan validasi tambahan untuk gambar TIFF. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec karena telah melaporkan masalah ini.
ImageIO
CVE-ID: CVE-2010-0043
Tersedia untuk: Windows 7, Vista, XP
Dampak: Memproses gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori dalam penanganan gambar TIFF. Memproses gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer. Masalah ini diatasi melalui penanganan memori yang ditingkatkan. Terima kasih kepada Gus Mueller dari Flying Meat karena telah melaporkan masalah ini.
PubSub
CVE-ID: CVE-2010-0044
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi atau memperbarui feed dapat menyebabkan cookie dibuat, meskipun Safari dikonfigurasi untuk memblokir cookie
Deskripsi: Terdapat masalah implementasi dalam penanganan cookie yang dibuat oleh feed RSS dan Atom. Mengunjungi atau memperbarui feed dapat menyebabkan cookie dibuat, meskipun Safari dikonfigurasi untuk memblokir cookie melalui preferensi “Terima Cookie”. Pembaruan ini mengatasi masalah tersebut dengan menerapkan preferensi saat memperbarui atau melihat feed.
Safari
CVE-ID: CVE-2010-0045
Tersedia untuk: Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Terdapat masalah saat Safari menangani skema URL eksternal yang dapat menyebabkan file lokal dibuka sebagai respons atas URL yang ditemukan di suatu halaman web. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut melalui validasi URL eksternal yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X. Terima kasih kepada Billy Rios dan Microsoft Vulnerability Research (MSVR) karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0046
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori saat WebKit menangani argumen format() CSS. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan penanganan argumen format() CSS. Terima kasih kepada Robert Swiecki dari Google Inc. karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0047
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free dalam penanganan konten fallback elemen objek HTML. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0048
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free saat WebKit mengurai dokumen XML. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0049
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free dalam penanganan elemen HTML berisi teks yang ditampilkan dari kanan ke kiri. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0050
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free saat WebKit menangani tag HTML bertingkat yang dibuat secara tidak tepat. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0051
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengungkapan informasi rahasia
Deskripsi: Terdapat masalah implementasi saat WebKit menangani permintaan lembar gaya lintas asal. Mengunjungi situs web perusak yang berbahaya dapat mengungkap isi sumber daya yang dilindungi di situs web lain. Pembaruan ini mengatasi masalah tersebut dengan melakukan validasi tambahan di lembar gaya yang dimuat selama permintaan lintas asal.
WebKit
CVE-ID: CVE-2010-0052
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free saat WebKit menangani callback untuk elemen HTML. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada: Apple.
WebKit
CVE-ID: CVE-2010-0053
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free saat merender konten dengan properti tampilan CSS yang diatur ke ‘run-in’. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.
WebKit
CVE-ID: CVE-2010-0054
Tersedia untuk: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.1 atau versi yang lebih baru, Mac OS X Server v10.6.1 atau versi yang lebih baru, Windows 7, Vista, XP
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi yang tidak terduga atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah use-after-free saat WebKit menangani elemen gambar HTML. Mengunjungi situs web yang berbahaya dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Terima kasih kepada: Apple.
Penting: Informasi tentang produk yang tidak diproduksi oleh Apple hanya tersedia untuk tujuan informasi dan bukan merupakan rekomendasi atau dukungan dari Apple. Silakan hubungi vendor untuk informasi tambahan.