Mengenai konten keamanan Pembaruan Keamanan 2010-002/Mac OS X v10.6.3

Dokumen ini menjelaskan konten keamanan Pembaruan Keamanan 2010-002/Mac OS X v10.6.3.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Keamanan 2010-002/Mac OS X v10.6.3

  • AppKit

    CVE-ID: CVE-2010-0056

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Memeriksa ejaan dokumen perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer pada fitur pemeriksaan ejaan yang digunakan oleh aplikasi Cocoa. Dampak: Memeriksa ejaan dokumen perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.

  • Application Firewall

    CVE-ID: CVE-2009-2801

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Aturan tertentu di Application Firewall mungkin menjadi tidak aktif setelah mulai ulang

    Deskripsi: Masalah waktu di Application Firewall dapat menyebabkan aturan tertentu menjadi tidak aktif setelah boot ulang. Masalah ini diatasi dengan peningkatan penanganan aturan Firewall. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada Michael Kisor dari OrganicOrb.com karena telah melaporkan masalah ini.

  • AFP Server

    CVE-ID: CVE-2010-0057

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Ketika akses tamu dinonaktifkan, pengguna jarak jauh dapat memasang bagian AFP sebagai tamu

    Deskripsi: Masalah kontrol akses di AFP Server memungkinkan pengguna jarak jauh memasang bagian AFP sebagai tamu, meskipun akses tamu dinonaktifkan. Masalah ini diatasi melalui peningkatan pemeriksaan daftar kontrol akses. Terima kasih kepada: Apple.

  • AFP Server

    CVE-ID: CVE-2010-0533

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Impact: Pengguna jarak jauh dengan akses tamu ke bagian AFP dapat mengakses konten file yang dapat dibaca dunia di luar bagian Publik

    Deskripsi: Terdapat masalah traversal direktori pada validasi jalur untuk bagian AFP. Pengguna jarak jauh dapat menghitung direktori induk dari root bagian serta membaca atau menulis file dalam direktori tersebut yang dapat diakses oleh pengguna ‘nobody’. Masalah ini diatasi dengan penyempurnaan penanganan jalur file. Terima kasih kepada Patrik Karlsson dari cqure.net karena telah melaporkan masalah ini.

  • Apache

    CVE-ID: CVE-2009-3095

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh mungkin dapat melewati pembatasan kontrol akses

    Deskripsi: Terdapat masalah validasi input saat Apache menangani permintaan proxy FTP. Penyerang jarak jauh yang dapat mengeluarkan permintaan melalui proxy mungkin dapat melewati pembatasan kontrol akses yang ditentukan dalam konfigurasi Apache. Masalah ini diatasi dengan memperbarui Apache ke versi 2.2.14.

  • ClamAV

    CVE-ID: CVE-2010-0058

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Definisi virus ClamAV mungkin tidak menerima pembaruan

    Deskripsi: Masalah konfigurasi yang muncul di Pembaruan Keamanan 2009-005 membuat freshclam tidak dapat berjalan. Hal ini mungkin membuat definisi virus tidak dapat diperbarui. Masalah ini diatasi dengan memperbarui nilai kunci launchd plist ProgramArguments freshclam. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada Bayard Bell, Wil Shipley dari Delicious Monster, dan David Ferrero dari Zion Software, LLC karena telah melaporkan masalah ini.

  • CoreAudio

    CVE-ID: CVE-2010-0059

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Memutar konten audio perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Terdapat masalah kerusakan memori saat menangani konten audio dengan enkode QDM2. Memutar konten audio perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • CoreAudio

    CVE-ID: CVE-2010-0060

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Memutar konten audio perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.

    Deskripsi: Terdapat masalah kerusakan memori saat menangani konten audio dengan enkode QDMC. Memutar konten audio perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • CoreMedia

    CVE-ID: CVE-2010-0062

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat CoreMedia menangani file film dengan enkode H.263. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode H.263. Terima kasih kepada Damian Put dan peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • CoreTypes

    CVE-ID: CVE-2010-0063

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna tidak mendapatkan peringatan sebelum membuka jenis konten tertentu yang berpotensi tidak aman

    Deskripsi: Pembaruan ini menambahkan .ibplugin dan .url ke daftar sistem berisi jenis konten yang akan ditandai sebagai berpotensi tidak aman dalam situasi tertentu, seperti ketika diunduh dari halaman web. Meskipun jenis konten ini tidak diluncurkan secara otomatis, jika dibuka secara manual, konten ini dapat menyebabkan eksekusi muatan JavaScript berbahaya atau eksekusi kode arbitrer. Pembaruan ini meningkatkan kemampuan sistem untuk memberi tahu pengguna sebelum menangani jenis konten yang digunakan oleh Safari. Terima kasih kepada Clint Ruoho dari Laconic Security yang telah melaporkan masalah ini.

  • CUPS

    CVE-ID: CVE-2010-0393

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna lokal mungkin dapat memperoleh hak istimewa sistem

    Deskripsi: Terdapat masalah string format dalam utilitas CUPS lppasswd. Hal ini dapat memungkinkan pengguna lokal untuk mendapatkan hak istimewa sistem. Sistem Mac OS X v10.6 hanya terpengaruh jika bit setuid telah ditetapkan pada biner. Masalah ini diatasi dengan menggunakan direktori default ketika berjalan sebagai proses setuid. Terima kasih kepada Ronald Volgers karena telah melaporkan masalah ini.

  • curl

    CVE-ID: CVE-2009-2417

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang man-in-the-middle mungkin dapat meniru server tepercaya

    Deskripsi: Terdapat masalah kanonikalisasi saat curl menangani karakter NULL di bidang Common Name (CN) pada sertifikat X.509. Hal ini dapat mengakibatkan serangan man-in-the-middle terhadap pengguna alat baris perintah curl atau aplikasi yang menggunakan libcurl. Masalah ini diatasi melalui peningkatan penanganan karakter NULL.

  • curl

    CVE-ID: CVE-2009-0037

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Menggunakan curl dengan -L dapat memungkinkan penyerang jarak jauh membaca atau menulis file lokal

    Deskripsi: curl akan mengikuti pengarahan HTTP dan HTTPS ketika digunakan dengan pilihan -L. Ketika curl mengikuti arahan, file:// URL akan diizinkan. Hal ini dapat memungkinkan penyerang jarak jauh mengakses file lokal. Masalah ini diatasi melalui peningkatan validasi pengarahan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada Daniel Stenberg dari Haxx AB karena telah melaporkan masalah ini.

  • Cyrus IMAP

    CVE-ID: CVE-2009-2632

    Tersedia untuk: Mac OS X Server v10.5.8

    Dampak: Pengguna lokal mungkin dapat memperoleh hak istimewa pengguna Cyrus

    Deskripsi: Terdapat kelebihan buffer saat menangani skrip sieve. Dengan menjalankan skrip sieve perusak yang berbahaya, pengguna lokal mungkin dapat memperoleh hak istimewa pengguna Cyrus. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6.

  • Cyrus SASL

    CVE-ID: CVE-2009-0688

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Pengguna jarak jauh yang tidak diautentikasi dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam modul autentikasi Cyrus SASL. Menggunakan autentikasi Cyrus SASL dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6.

  • DesktopServices

    CVE-ID: CVE-2010-0064

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Item yang disalin di Finder mungkin ditetapkan ke pemilik file yang tidak terduga

    Deskripsi: Saat melakukan penyalinan yang diautentikasi di Finder, kepemilikan file asli mungkin disalin secara tidak terduga. Pembaruan ini mengatasi masalah ini dengan memastikan bahwa file yang disalin adalah milik pengguna yang melakukan penyalinan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Gerrit DeWitt dari Auburn University (Auburn, AL) karena telah melaporkan masalah ini.

  • DesktopServices

    CVE-ID: CVE-2010-0537

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh dapat memperoleh akses ke data pengguna melalui serangan multitahap

    Deskripsi: Masalah resolusi jalur di DesktopServices rentan terhadap serangan multitahap. Penyerang jarak jauh harus terlebih dahulu memancing pengguna agar memasang bagian yang diberi nama secara arbitrer, yang dapat dilakukan melalui skema URL. Ketika menyimpan file menggunakan panel simpan default di aplikasi apa pun dan menggunakan “Buka folder” atau menyeret folder ke panel simpan, data mungkin tiba-tiba disimpan ke bagian yang berbahaya. Masalah ini diatasi melalui peningkatan resolusi jalur. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Sidney San Martin yang bekerja sama dengan DeepTech, Inc. karena telah melaporkan masalah ini.

  • Disk Images

    CVE-ID: CVE-2010-0065

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Memasang image disk perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori saat menangani image disk bzip2 yang dikompresi. Memasang image disk perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada: Apple.

  • Disk Images

    CVE-ID: CVE-2010-0497

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Memasang image disk perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Terdapat masalah desain saat menangani image disk yang mendukung internet. Memasang image disk yang mendukung internet berisi jenis file paket akan membukanya, bukan menampilkannya di Finder. Fitur karantina file ini membantu mengatasi masalah ini dengan menampilkan dialog peringatan untuk jenis file tidak aman. Masalah ini diatasi melalui peningkatan penanganan jenis file paket pada image disk yang mendukung internet. Terima kasih kepada Brian Mastenbrook yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • Directory Services

    CVE-ID: CVE-2010-0498

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna lokal dapat memperoleh hak istimewa sistem

    Deskripsi: Masalah otorisasi saat Layanan Direktori menangani nama catatan dapat memungkinkan pengguna lokal memperoleh hak istimewa sistem. Masalah ini diatasi melalui peningkatan pemeriksaan otorisasi. Terima kasih kepada: Apple.

  • Dovecot

    CVE-ID: CVE-2010-0535

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna yang diautentikasi mungkin dapat mengirim dan menerima email meskipun tidak berada dalam SACL pengguna yang diizinkan untuk melakukannya

    Deskripsi: Terdapat masalah kontrol akses di Dovecot ketika autentikasi Kerberos diaktifkan. Hal ini dapat memungkinkan pengguna yang diautentikasi mengirim dan menerima email meskipun tidak ada dalam daftar kontrol akses layanan (SACL) pengguna yang diizinkan untuk melakukannya. Masalah ini diatasi melalui peningkatan pemeriksaan daftar kontrol akses. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6.

  • Event Monitor

    CVE-ID: CVE-2010-0500

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh dapat menyebabkan sistem arbitrer ditambahkan ke daftar hitam firewall

    Deskripsi: Pencarian DNS terbalik dilakukan pada klien ssh jarak jauh yang gagal diautentikasi. Terdapat masalah injeksi plist saat menangani nama DNS yang diselesaikan. Hal ini memungkinkan penyerang jarak jauh menyebabkan sistem arbitrer ditambahkan ke daftar hitam firewall. Masalah ini diatasi dengan mengeluarkan nama DNS yang diselesaikan dengan benar. Terima kasih kepada: Apple.

  • FreeRADIUS

    CVE-ID: CVE-2010-0524

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh dapat memperoleh akses ke jaringan melalui autentikasi RADIUS

    Deskripsi: Masalah autentikasi sertifikat terjadi pada konfigurasi default Mac OS X pada server FreeRADIUS. Penyerang jarak jauh dapat menggunakan EAP-TLS dengan sertifikat valid arbitrer untuk mengautentikasi dan terhubung ke jaringan yang dikonfigurasi untuk menggunakan FreeRADIUS untuk autentikasi. Masalah ini diatasi dengan menonaktifkan dukungan untuk EAP-TLS di konfigurasi. Klien RADIUS sebaiknya menggunakan EAP-TTLS sebagai gantinya. Masalah ini hanya memengaruhi sistem Mac OS X Server. Terima kasih kepada Chris Linstruth dari Qnet karena telah melaporkan masalah ini.

  • FTP Server

    CVE-ID: CVE-2010-0501

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna mungkin dapat mengambil file di luar direktori root FTP

    Deskripsi: Terdapat masalah traversal direktori di FTP Server. Hal ini dapat memungkinkan pengguna mengambil file di luar direktori root FTP. Masalah ini diatasi melalui peningkatan penanganan nama file. Masalah ini hanya memengaruhi sistem Mac OS X Server. Terima kasih kepada: Apple.

  • iChat Server

    CVE-ID: CVE-2006-1329

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh mungkin dapat menyebabkan penolakan layanan

    Deskripsi: Terdapat masalah implementasi saat jabberd menangani negosiasi SASL. Penyerang jarak jauh mungkin dapat menghentikan operasi jabberd. Masalah ini diatasi melalui peningkatan penanganan negosiasi SASL. Masalah ini hanya memengaruhi sistem Mac OS X Server.

  • iChat Server

    CVE-ID: CVE-2010-0502

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pesan obrolan mungkin tidak dicatat

    Deskripsi: Terdapat masalah desain pada dukungan iChat Server untuk pencatatan obrolan grup yang dapat dikonfigurasi. iChat Server hanya mencatat pesan dengan jenis tertentu. Hal ini dapat memungkinkan pengguna jarak jauh mengirim pesan melalui server tanpa dicatat. Masalah ini diatasi dengan menghilangkan kemampuan untuk menonaktifkan log obrolan grup dan mencatat semua pesan yang dikirim melalui server. Masalah ini hanya memengaruhi sistem Mac OS X Server. Terima kasih kepada: Apple.

  • iChat Server

    CVE-ID: CVE-2010-0503

    Tersedia untuk: Mac OS X Server v10.5.8

    Dampak: Pengguna yang diautentikasi dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah penggunaan setelah pengosongan di iChat Server. Pengguna yang diautentikasi dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pelacakan referensi memori yang ditingkatkan. Masalah ini hanya memengaruhi sistem Mac OS X Server dan tidak memengaruhi versi 10.6 atau yang lebih baru.

  • iChat Server

    CVE-ID: CVE-2010-0504

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna yang diautentikasi dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kelebihan tumpukan buffer di iChat Server. Pengguna yang diautentikasi dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan pengelolaan memori. Masalah ini hanya memengaruhi sistem Mac OS X Server. Terima kasih kepada: Apple.

  • ImageIO

    CVE-ID: CVE-2010-0505

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan gambar JP2 perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat menangani gambar JP2. Menampilkan gambar JP2 perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Chris Ries dari Carnegie Mellon University Computing Service dan peneliti “85319bb6e6ab398b334509c50afce5259d42756e” yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2010-0041

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan pengiriman data dari memori Safari ke situs web tersebut.

    Deskripsi: Terdapat masalah akses memori yang tidak diinisialisasi saat ImageIO menangani gambar BMP. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan inisialisasi memori dan validasi tambahan untuk gambar BMP. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec yang telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2010-0042

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan pengiriman data dari memori Safari ke situs web tersebut.

    Deskripsi: Terdapat masalah akses memori yang tidak diinisialisasi saat ImageIO menangani gambar TIFF. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengiriman data dari memori Safari ke situs web tersebut. Masalah ini diatasi melalui peningkatan inisialisasi memori dan validasi tambahan untuk gambar TIFF. Terima kasih kepada Matthew 'j00ru' Jurczyk dari Hispasec yang telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2010-0043

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Memproses gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori saat menangani gambar TIFF. Memproses gambar TIFF perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui penanganan memori yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Gus Mueller dari Flying Meat karena telah melaporkan masalah ini.

  • Image RAW

    CVE-ID: CVE-2010-0506

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Menampilkan gambar NEF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer saat Image RAW menangani gambar NEF. Menampilkan gambar NEF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.

  • Image RAW

    CVE-ID: CVE-2010-0507

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan gambar PEF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer saat Image RAW menangani gambar PEF. Menampilkan gambar PEF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Chris Ries dari Carnegie Mellon University Computing Services karena telah melaporkan masalah ini.

  • Libsystem

    CVE-ID: CVE-2009-0689

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Aplikasi yang mengonversi data tidak tepercaya antara titik apung biner dan teks mungkin rentan terhadap penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer pada kode konversi titik apung biner ke teks dalam Libsystem. Penyerang yang dapat menyebabkan app mengubah nilai titik mengambang menjadi string yang panjang, atau mengurai string perusak yang berbahaya sebagai nilai titik mengambang, mungkin dapat mengakibatkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Maksymilian Arciemowicz dari SecurityReason.com yang telah melaporkan masalah ini.

  • Mail

    CVE-ID: CVE-2010-0508

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Aturan yang terkait dengan akun email yang dihapus tetap berlaku

    Deskripsi: Ketika akun email dihapus, aturan filter yang ditentukan pengguna yang terkait dengan akun tersebut tetap aktif. Hal ini dapat menyebabkan tindakan yang tidak terduga. Masalah ini diatasi dengan menonaktifkan aturan terkait ketika akun email dihapus.

  • Mail

    CVE-ID: CVE-2010-0525

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Mail dapat menggunakan kunci enkripsi yang lebih lemah untuk email keluar

    Deskripsi: Terdapat masalah logika saat Mail menangani sertifikat enkripsi. Ketika terdapat beberapa sertifikat untuk penerima di rantai kunci, Mail dapat memilih kunci enkripsi yang tidak dimaksudkan untuk pengodean. Hal ini dapat menyebabkan masalah keamanan jika kunci yang dipilih lebih lemah dari yang diharapkan. Masalah ini diatasi dengan memastikan bahwa ekstensi penggunaan kunci dalam sertifikat dievaluasi ketika memilih kunci enkripsi email. Terima kasih kepada Paul Suh dari ps Enable, Inc. karena telah melaporkan masalah ini.

  • Mailman

    CVE-ID: CVE-2008-0564

    Tersedia untuk: Mac OS X Server v10.5.8

    Dampak: Beberapa kerentanan di Mailman 2.1.9

    Deskripsi: Terdapat beberapa masalah skripting lintas situs di Mailman 2.1.9. Masalah ini diatasi dengan memperbarui Mailman ke versi 2.1.13. Informasi lebih lanjut tersedia di situs Mailman http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html Masalah ini hanya memengaruhi sistem Mac OS X Server dan tidak memengaruhi versi 10.6 atau versi lebih baru.

  • MySQL

    CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030

    Tersedia untuk: Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Beberapa kerentanan di MySQL 5.0.82

    Deskripsi: MySQL diperbarui ke versi 5.0.88 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius dapat menyebabkan eksekusi kode arbitrer. Masalah ini hanya memengaruhi sistem Mac OS X Server. Informasi lebih lanjut tersedia melalui situs web MySQL di http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html

  • OS Services

    CVE-ID: CVE-2010-0509

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna lokal mungkin dapat memperoleh hak istimewa yang lebih tinggi

    Deskripsi: Terdapat masalah eskalasi hak istimewa dalam SFLServer karena berjalan sebagai ‘roda’ grup dan mengakses file di direktori utama pengguna. Masalah ini diatasi melalui peningkatan pengelolaan hak istimewa. Terima kasih kepada Kevin Finisterre dari DigitalMunition karena telah melaporkan masalah ini.

  • Password Server

    CVE-ID: CVE-2010-0510

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh mungkin dapat masuk dengan kata sandi yang lama

    Deskripsi: Masalah implementasi saat Password Server menangani replikasi dapat menyebabkan kata sandi tidak direplikasi. Penyerang jarak jauh mungkin dapat masuk ke sistem menggunakan kata sandi lama. Masalah ini diatasi melalui peningkatan penanganan replikasi kata sandi. Masalah ini hanya memengaruhi sistem Mac OS X Server. Terima kasih kepada Jack Johnson dari Anchorage School District karena telah melaporkan masalah ini.

  • perl

    CVE-ID: CVE-2008-5302, CVE-2008-5303

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Pengguna lokal dapat menyebabkan file arbitrer dihapus

    Deskripsi: Terdapat beberapa masalah kondisi pacu dalam fungsi rmtree pada modul Perl File::Path. Pengguna lokal dengan akses tulis ke direktori yang dihapus dapat menyebabkan file arbitrer dihapus dengan hak istimewa proses perl. Masalah ini diatasi melalui peningkatan penanganan tautan simbolis. Masalah ini tidak memengaruhi sistem Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Beberapa kerentanan di PHP 5.3.0

    Deskripsi: PHP diperbarui ke versi 5.3.1 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius dapat menyebabkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net/

  • PHP

    CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Beberapa kerentanan dalam PHP 5.2.11

    Deskripsi: PHP diperbarui ke versi 5.2.12 untuk mengatasi sejumlah kerentanan. Kerentanan yang paling serius dapat menyebabkan skrip lintas situs. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net/

  • Podcast Producer

    CVE-ID: CVE-2010-0511

    Tersedia untuk: Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna yang tidak berwenang mungkin dapat mengakses alur kerja Podcast Composer

    Deskripsi: Ketika alur kerja Podcast Composer ditimpa, pembatasan akses dihapus. Hal ini dapat memungkinkan pengguna yang tidak berwenang mengakses alur kerja Podcast Composer. Masalah ini diatasi melalui peningkatan penanganan pembatasan akses alur kerja. Podcast Composer diperkenalkan di Mac OS X Server v10.6.

  • Preferences

    CVE-ID: CVE-2010-0512

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna jaringan mungkin dapat melewati pembatasan masuk sistem

    Deskripsi: Terjadi masalah implementasi saat menangani pembatasan masuk sistem untuk akun jaringan. Jika akun jaringan yang diizinkan untuk masuk ke sistem di Jendela Masuk hanya diidentifikasi berdasarkan keanggotaan grup, pembatasan tidak akan diterapkan dan semua pengguna jaringan akan diizinkan untuk masuk ke sistem. Masalah ini diatasi melalui peningkatan pengelolaan pembatasan grup di panel Preferensi akun. Masalah ini hanya memengaruhi sistem yang dikonfigurasi untuk menggunakan server akun jaringan dan tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Christopher D. Grieb dari University of Michigan MSIS karena telah melaporkan masalah ini.

  • PS Normalizer

    CVE-ID: CVE-2010-0513

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file PostScript perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat menangani file PostScript. Melihat file PostScript perusak yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file PostScript. Di sistem Mac OS X v10.6, masalah ini dimitigasi dengan tanda pengompilasi -fstack-protector. Terima kasih kepada: Apple.

  • QuickTime

    CVE-ID: CVE-2010-0062

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat QuickTime menangani file film dengan enkode H.263. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode H.263. Terima kasih kepada Damian Put dan peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0514

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat menangani file film dengan enkode H.261. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode H.261. Terima kasih kepada Will Dormann dari CERT/CC karena sudah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0515

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kerusakan memori saat menangani file film dengan enkode H.264. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode H.264. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0516

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan tumpukan buffer saat menangani file film dengan enkode RLE. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode RLE. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0517

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan tumpukan buffer saat menangani file film dengan enkode M-JPEG. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode M-JPEG. Terima kasih kepada Damian Put dan peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0518

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kerusakan memori saat menangani file film dengan enkode Sorenson. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode Sorenson. Terima kasih kepada Will Dormann dari CERT/CC karena sudah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0519

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan bilangan bulat saat menangani file film dengan enkode FlashPix. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0520

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat menangani file film dengan enkode FLC. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode FLC. Terima kasih kepada Moritz Jodeit dari n.runs AG, yang bekerja sama dengan Zero Day Initiative dari TippingPoint, dan Nicolas Joly dari VUPEN Security karena telah melaporkan masalah ini.

  • QuickTime

    CVE-ID: CVE-2010-0526

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan file MPEG perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan tumpukan buffer saat menangani file film dengan enkode MPEG. Membuka file film perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode MPEG. Terima kasih kepada peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint karena telah melaporkan masalah ini.

  • Ruby

    CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Beberapa masalah di Ruby on Rails

    Deskripsi: Terdapat beberapa kerentanan di Ruby on Rails. Kerentanan yang paling serius dapat menyebabkan skripting lintas situs. Pada sistem Mac OS X v10.6, masalah ini diatasi dengan memperbarui Ruby on Rails ke versi 2.3.5. Sistem Mac OS X v10.5 hanya terpengaruh oleh CVE-2009-4214 dan masalah ini diatasi melalui peningkatan validasi argumen strip_tags.

  • Ruby

    CVE-ID: CVE-2009-1904

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menjalankan skrip Ruby yang menggunakan input tidak tepercaya untuk menginisialisasi objek BigDecimal dapat mengakibatkan penghentian aplikasi secara tiba-tiba

    Deskripsi: Terdapat masalah kehabisan tumpukan saat Ruby menangani objek BigDecimal dengan nilai yang sangat besar. Menjalankan skrip Ruby yang menggunakan input tidak tepercaya untuk menginisialisasi objek BigDecimal dapat mengakibatkan penghentian aplikasi secara tiba-tiba. Untuk sistem Mac OS X v10.6, masalah ini diatasi dengan memperbarui Ruby ke versi 1.8.7-p173. Untuk sistem Mac OS X v10.5, masalah ini diatasi dengan memperbarui Ruby ke versi 1.8.6-p369.

  • Server Admin

    CVE-ID: CVE-2010-0521

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh dapat mengekstrak informasi dari Open Directory

    Deskripsi: Terdapat masalah desain saat menangani pengikatan direktori yang diautentikasi. Penyerang jarak jauh mungkin dapat mengekstrak informasi secara anonim dari Open Directory, meskipun pilihan “Diperlukan ikatan yang sah antara direktori dan klien” diaktifkan. Masalah ini diatasi dengan menghapus pilihan konfigurasi. Masalah ini hanya memengaruhi sistem Mac OS X Server. Terima kasih kepada Scott Gruby dari Gruby Solutions dan Mathias Haack dari GRAVIS Computervertriebsgesellschaft mbH karena telah melaporkan masalah ini.

  • Server Admin

    CVE-ID: CVE-2010-0522

    Tersedia untuk: Mac OS X Server v10.5.8

    Dampak: Administrator sebelumnya mungkin memiliki akses tidak sah ke berbagi layar

    Deskripsi: Pengguna yang dikeluarkan dari grup ‘admin’ masih dapat terhubung ke server menggunakan berbagi layar. Masalah ini diatasi melalui peningkatan penanganan hak istimewa administrator. Masalah ini hanya memengaruhi sistem Mac OS X Server dan tidak memengaruhi versi 10.6 atau yang lebih baru. Terima kasih kepada: Apple.

  • SMB

    CVE-ID: CVE-2009-2906

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Penyerang jarak jauh mungkin dapat menyebabkan penolakan layanan

    Deskripsi: Terdapat masalah pengulangan tidak terhingga saat Samba menangani pemberitahuan jeda ‘oplock’ SMB. Penyerang jarak jauh mungkin dapat memicu pengulangan tidak terhingga di smbd, yang menyebabkan konsumsi sumber daya CPU secara berlebihan. Masalah ini diatasi dengan peningkatan penanganan pemberitahuan jeda ‘oplock’.

  • Tomcat

    CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Beberapa kerentanan di Tomcat 6.0.18

    Deskripsi: Tomcat diperbarui ke versi 6.0.24 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius dapat menyebabkan serangan skripting lintas situs. Tomcat hanya tersedia di sistem Mac OS X Server. Informasi lebih lanjut tersedia melalui situs Tomcat http://tomcat.apache.org/

  • unzip

    CVE-ID: CVE-2008-0888

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Mengekstrak file zip perusak yang berbahaya menggunakan alat perintah pengekstrak dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode

    Deskripsi: Terdapat masalah penunjuk yang tidak diinisialisasi saat menangani file zip. Mengekstrak file zip perusak yang berbahaya menggunakan alat perintah pengekstrak dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file zip. Masalah ini tidak memengaruhi sistem Mac OS X v10.6.

  • vim

    CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Beberapa kerentanan di vim 7.0

    Deskripsi: Terdapat beberapa kerentanan di vim 7.0. Kerentanan yang paling serius dapat menyebabkan eksekusi kode arbitrer ketika menangani file perusak yang berbahaya. Masalah ini diatasi dengan memperbarui ke vim 7.2.102. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Informasi lebih lanjut tersedia melalui situs web vim di http://www.vim.org/

  • Wiki Server

    CVE-ID: CVE-2010-0523

    Tersedia untuk: Mac OS X Server v10.5.8

    Dampak: Mengunggah applet perusak yang berbahaya dapat mengakibatkan pengungkapan informasi sensitif

    Deskripsi: Wiki Server memungkinkan pengguna mengunggah konten aktif seperti applet Java. Penyerang jarak jauh dapat memperoleh informasi sensitif dengan mengunggah applet perusak yang berbahaya dan mengarahkan pengguna Wiki Server untuk menampilkannya. Masalah ini diatasi menggunakan cookie autentikasi sekali pakai khusus yang hanya dapat digunakan untuk mengunduh lampiran tertentu. Masalah ini hanya memengaruhi sistem Mac OS X Server dan tidak memengaruhi versi 10.6 atau yang lebih baru.

  • Wiki Server

    CVE-ID: CVE-2010-0534

    Tersedia untuk: Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Pengguna yang diautentikasi dapat melewati pembatasan pembuatan weblog

    Deskripsi: Wiki Server mendukung daftar kontrol akses layanan (SACL), yang memungkinkan administrator mengontrol publikasi konten. Wiki Server tidak melihat weblog SACL selama pembuatan weblog pengguna. Hal ini memungkinkan pengguna yang diautentikasi memublikasikan konten ke Wiki Server, meskipun publikasi seharusnya dilarang oleh ACL layanan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6.

  • X11

    CVE-ID: CVE-2009-2042

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan gambar perusak yang berbahaya dapat mengakibatkan pengungkapan informasi sensitif

    Deskripsi: libpng diperbarui ke versi 1.2.37 untuk mengatasi masalah yang dapat mengakibatkan pengungkapan informasi sensitif. Informasi lebih lanjut tersedia melalui situs libpng di http://www.libpng.org/pub/png/libpng.html

  • X11

    CVE-ID: CVE-2003-0063

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 hingga v10.6.2, Mac OS X Server v10.6 hingga v10.6.2

    Dampak: Menampilkan data perusak yang berbahaya dalam terminal xterm dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Program xterm mendukung urutan perintah untuk mengubah judul jendela dan mencetak judul jendela ke terminal. Informasi yang ditampilkan diberikan ke terminal seolah-olah merupakan input papan ketik dari pengguna. Di dalam terminal xterm, menampilkan data perusak berbahaya yang berisi urutan tersebut dapat menyebabkan injeksi perintah. Masalah ini diatasi dengan menonaktifkan urutan perintah yang terpengaruh.

  • xar

    CVE-ID: CVE-2010-0055

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Paket yang dimodifikasi mungkin tampak ditandatangani secara valid

    Deskripsi: Terdapat masalah desain di xar saat memvalidasi tanda tangan paket. Hal ini dapat memungkinkan paket yang dimodifikasi tampak ditandatangani secara valid. Masalah ini diatasi melalui peningkatan validasi tanda tangan paket. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: