Artikel ini telah diarsipkan dan tidak lagi diperbarui oleh Apple.

Mengenai konten keamanan Pembaruan Keamanan 2010-004/Mac OS X v10.6.4

Dokumen ini membahas konten keamanan Pembaruan Keamanan 2010-004/Mac OS X v10.6.4.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Keamanan 2010-004/Mac OS X v10.6.4

  • CUPS

    CVE-ID: CVE-2010-0540

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Mengunjungi situs web perusak yang berbahaya saat masuk ke antarmuka web CUPS sebagai administrator dapat memungkinkan pengaturan CUPS diubah

    Deskripsi: Terdapat masalah pemalsuan permintaan lintas situs di antarmuka web CUPS. Mengunjungi situs web perusak yang berbahaya saat masuk ke antarmuka web CUPS sebagai administrator dapat memungkinkan pengaturan CUPS diubah. Masalah ini diatasi dengan mewajibkan pengiriman formulir web untuk menyertakan token sesi acak. Terima kasih kepada Adrian ‘pagvac’ Pastor dari GNUCITIZEN, dan Tim Starling karena telah melaporkan masalah ini.

  • CUPS

    CVE-ID: CVE-2010-0302

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Penyerang jarak jauh dapat menyebabkan penghentian aplikasi secara tiba-tiba untuk cupsd

    Deskripsi: Terdapat masalah penggunaan setelah pengosongan di cupsd. Dengan mengeluarkan permintaan dapatkan-tugas-printer perusak yang berbahaya, penyerang dapat menyebabkan penolakan layanan jarak jauh. Hal ini dimitigasi melalui pemulaian ulang cupsd secara otomatis setelah dihentikan. Masalah ini diatasi melalui pelacakan penggunaan koneksi yang ditingkatkan. Terima kasih kepada Tim Waugh karena telah melaporkan masalah ini.

  • CUPS

    CVE-ID: CVE-2010-1748

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Penyerang yang memiliki akses ke antarmuka web CUPS mungkin dapat membaca memori dalam jumlah terbatas dari proses cupsd

    Deskripsi: Terdapat masalah pembacaan memori yang tidak diinisialisasi dalam penanganan variabel formulir oleh antarmuka web CUPS. Penyerang yang memiliki akses ke antarmuka web CUPS mungkin dapat membaca memori dalam jumlah terbatas dari proses cupsd. Secara default, hanya pengguna lokal yang dapat mengakses antarmuka web. Pengguna jarak jauh juga dapat mengaksesnya ketika Berbagi Printer diaktifkan. Masalah ini diatasi melalui penanganan variabel formulir yang lebih baik. Terima kasih kepada Luca Carettoni karena telah melaporkan masalah ini.

  • DesktopServices

    CVE-ID: CVE-2010-0545

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Operasi Finder dapat menghasilkan file atau folder dengan izin yang tidak diharapkan

    Deskripsi: Jika “Terapkan ke item terlampir...” dipilih di jendela “Dapatkan Info” di Finder, kepemilikan item terlampir tidak berubah. Hal ini dapat menyebabkan file dan folder terlampir memiliki izin yang tidak diharapkan. Masalah ini diatasi dengan menerapkan kepemilikan yang benar. Terima kasih kepada Michi Ruepp dari pianobakery.com karena telah melaporkan masalah ini.

  • Flash Player plug-in

    CVE-ID: CVE-2010-0186, CVE-2010-0187

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Beberapa kerentanan di plug-in Adobe Flash Player

    Deskripsi: Terdapat beberapa masalah di plug-in Adobe Flash Player, yang paling serius dapat menyebabkan permintaan lintas domain yang tidak sah. Masalah ini diatasi dengan memperbarui plug-in Flash Player ke versi 10.0.45.2 Informasi lebih lanjut tersedia melalui situs web Adobe di http://www.adobe.com/support/security/

  • Folder Manager

    CVE-ID: CVE-2010-0546

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Melepas disk image perusak yang berbahaya atau berbagi jarak jauh dapat mengakibatkan hilangnya data

    Deskripsi: Terdapat masalah mengikuti symlink di Folder Manager. Folder bernama “Cleanup At Startup” dihapus saat melakukan pelepasan. Volume perusak yang berbahaya dapat menggunakan symlink untuk menyebabkan penghapusan folder arbitrer dengan izin dari pengguna saat ini. Masalah ini diatasi melalui peningkatan penanganan symlink. Terima kasih kepada: Apple.

  • Help Viewer

    CVE-ID: CVE-2010-1373

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan eksekusi JavaScript di domain lokal

    Deskripsi: Terdapat masalah penulisan skrip lintas situs saat Help Viewer menangani URL help:. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan eksekusi JavaScript di domain lokal. Hal ini dapat mengakibatkan pengungkapan informasi atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan pelolosan parameter URL dalam konten HTML. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Clint Ruoho dari Laconic Security karena telah melaporkan masalah ini.

  • iChat

    CVE-ID: CVE-2010-1374

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Pengguna jarak jauh dapat mengunggah file ke lokasi arbitrer di sistem file pengguna saat ini menggunakan AIM di iChat

    Deskripsi: Terdapat masalah traversal direktori saat iChat menangani transfer gambar sebaris. Pengguna jarak jauh dapat mengunggah file ke lokasi arbitrer di sistem file pengguna saat ini menggunakan AIM di iChat. Masalah ini diatasi melalui peningkatan penanganan jalur file. Terima kasih kepada: Apple.

  • ImageIO

    CVE-ID: CVE-2010-1411

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Membuka file TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa kelebihan bilangan bulat dalam penanganan file TIFF dapat menyebabkan kelebihan tumpukan buffer. Membuka file TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang lebih baik. Terima kasih kepada Kevin Finisterre dari digitalmunition.com karena telah melaporkan masalah ini.

  • ImageIO

    CVE-ID: CVE-2010-0543

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Membuka file film perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi kerusakan memori saat menangani file film dengan enkode MPEG2. Membuka file film perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan melakukan validasi tambahan untuk file film dengan enkode MPEG2. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.2. Terima kasih kepada: Apple.

  • ImageIO

    CVE-ID: CVE-2010-1816

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Memproses gambar perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam penanganan gambar. Memproses gambar perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Joseph Spiros dari iThink Software karena telah melaporkan masalah ini.

  • Kerberos

    CVE-ID: CVE-2009-4212

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Pengguna jarak jauh yang tidak diautentikasi dapat menyebabkan penghentian proses KDC secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan bilangan bulat dalam operasi dekripsi RC4 dan AES dari perpustakaan kripto di server KDC. Mengirimkan pesan terenkripsi perusak yang berbahaya ke server KDC dapat menyebabkan penghentian proses KDC secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Tim Kerberos MIT karena telah melaporkan masalah ini.

  • Kerberos

    CVE-ID: CVE-2010-1320

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Pengguna jarak jauh dapat menyebabkan penghentian proses KDC secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terjadi masalah pengosongan ganda saat perpanjangan atau validasi tiket yang ada dalam proses KDC. Pengguna jarak jauh dapat menyebabkan penghentian proses KDC secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui penanganan tiket yang ditingkatkan. Masalah ini tidak berdampak pada sistem sebelum Mac OS X v10.6. Terima kasih kepada Joel Johnson karena telah melaporkan masalah ini kepada Debian, dan Brian Almeida yang bekerja sama dengan Tim Keamanan Kerberos MIT.

  • Kerberos

    CVE-ID: CVE-2010-0283

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Pengguna jarak jauh yang tidak diautentikasi dapat menyebabkan penghentian proses KDC secara tiba-tiba

    Deskripsi: Masalah logika dalam penanganan permintaan KDC dapat menyebabkan pernyataan terpicu. Dengan mengirimkan pesan perusak yang berbahaya ke server KDC, penyerang jarak jauh dapat mengganggu layanan Kerberos dengan memicu pernyataan. Masalah ini diatasi melalui peningkatan validasi permintaan KDC. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Emmanuel Bouillon dari NATO C3 Agency yang bekerja sama dengan Tim Keamanan Kerberos MIT karena telah melaporkan masalah ini.

  • Kernel

    CVE-ID: CVE-2010-1821

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: pengguna lokal bisa mendapatkan hak istimewa sistem

    Deskripsi: Terdapat masalah logika dalam penanganan vfork, yang mana pengendali pengecualian Mach tidak diatur ulang dalam kasus tertentu. Hal ini dapat memungkinkan pengguna lokal mendapatkan hak istimewa sistem. Masalah ini diatasi melalui peningkatan penanganan vfork. Terima kasih kepada Richard van Eeden dari IOActive karena telah melaporkan masalah ini.

  • libcurl

    CVE-ID: CVE-2010-0734

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Menggunakan libcurl untuk mengunduh file dari situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer saat libcurl menangani konten web yang dikompresi gzip. Saat memproses konten yang dikompresi, libcurl mungkin mengembalikan sejumlah besar data secara tiba-tiba ke aplikasi yang memanggil. Hal ini dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan memastikan bahwa ukuran blok data yang dikembalikan ke aplikasi yang memanggil oleh libcurl mematuhi batas yang didokumentasikan.

  • Network Authorization

    CVE-ID: CVE-2010-1375

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8

    Dampak: Pengguna lokal bisa mendapatkan hak istimewa sistem

    Deskripsi: NetAuthSysAgent tidak memerlukan otorisasi untuk operasi tertentu. Hal ini dapat memungkinkan pengguna lokal mendapatkan hak istimewa sistem. Masalah ini diatasi dengan mewajibkan otorisasi untuk operasi tambahan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6. Terima kasih kepada: Apple.

  • Network Authorization

    CVE-ID: CVE-2010-1376

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah string format dalam penanganan URL afp:, cifs:, dan smb:. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui peningkatan validasi URL afp:, cifs:, dan smb:. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Ilja van Sprundel dari IOActive, dan Chris Ries dari Carnegie Mellon University Computing Services karena telah melaporkan masalah ini.

  • Open Directory

    CVE-ID: CVE-2010-1377

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Penyerang man-in-the-middle mungkin dapat menyamar sebagai server akun jaringan

    Deskripsi: Saat mengikat ke server akun jaringan melalui Preferensi Sistem, Open Directory akan secara otomatis menegosiasikan koneksi tidak terlindungi ke server jika tidak memungkinkan untuk terhubung ke server dengan Secure Sockets Layer (SSL). Penyerang man-in-the-middle mungkin dapat menyamar sebagai server akun jaringan, yang dapat menyebabkan eksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini diatasi dengan menyediakan pilihan untuk mewajibkan koneksi aman. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6.

  • Printer Setup

    CVE-ID: CVE-2010-1379

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Perangkat jaringan mungkin menonaktifkan pencetakan pada aplikasi tertentu

    Deskripsi: Terdapat masalah enkode karakter saat Printer Setup menangani printer terdekat. Jika perangkat di jaringan lokal mengiklankan layanan pencetakan dengan karakter Unicode pada nama layanannya, pencetakan mungkin gagal dalam aplikasi tertentu. Masalah ini diatasi melalui peningkatan penanganan printer bersama. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada Filipp Lepalaan dari mcare Oy karena telah melaporkan masalah ini.

  • Printing

    CVE-ID: CVE-2010-1380

    Tersedia untuk: Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Pengguna yang memiliki akses ke printer dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kelebihan bilangan bulat dalam penghitungan ukuran halaman di filter CUPS cgtexttops. Pengguna lokal atau jarak jauh yang memiliki akses ke printer dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6. Terima kasih kepada regenrecht yang bekerja sama dengan iDefense karena telah melaporkan masalah ini.

  • Ruby

    CVE-ID: CVE-2010-0541

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Penyerang jarak jauh dapat memperoleh akses ke akun yang dilayani oleh Ruby WEBrick

    Deskripsi: Terdapat masalah penulisan skrip lintas situs saat server HTTP Ruby WEBrick menangani halaman kesalahan. Mengakses URL perusak yang berbahaya di browser web tertentu dapat menyebabkan halaman kesalahan diperlakukan sebagai UTF-7, sehingga memungkinkan injeksi JavaScript. Masalah ini diatasi dengan menetapkan UTF-8 sebagai rangkaian karakter default dalam respons kesalahan HTTP. Terima kasih kepada: Apple.

  • SMB File Server

    CVE-ID: CVE-2010-1381

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Pengguna jarak jauh dapat memperoleh akses tidak sah ke file arbitrer

    Deskripsi: Terdapat masalah konfigurasi pada distribusi Samba dari Apple, yaitu server yang digunakan untuk berbagi file SMB. Dengan menggunakan tautan simbolik, pengguna jarak jauh yang memiliki akses ke berbagi SMB dapat memperoleh akses tidak sah ke file arbitrer. Masalah ini diatasi dengan menonaktifkan dukungan untuk tautan luas di file konfigurasi Samba.

  • SquirrelMail

    CVE-ID: CVE-2009-1578, CVE-2009-1579, CVE-2009-1580, CVE-2009-1581, CVE-2009-2964

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Beberapa kerentanan di SquirrelMail

    Deskripsi: SquirrelMail diperbarui ke versi 1.4.20 untuk mengatasi beberapa kerentanan, yang paling serius adalah masalah penulisan skrip lintas situs. Informasi lebih lanjut tersedia melalui situs web SquirrelMail di http://www.SquirrelMail.org/

  • Wiki Server

    CVE-ID: CVE-2010-1382

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6 sampai v10.6.3, Mac OS X Server v10.6 sampai v10.6.3

    Dampak: Menampilkan konten Wiki perusak yang berbahaya dapat mengakibatkan serangan penulisan skrip lintas situs

    Deskripsi: Wiki Server tidak menentukan kumpulan karakter eksplisit saat menyajikan dokumen HTML sebagai respons terhadap permintaan pengguna. Penyerang dengan kemampuan untuk mengirim postingan atau komentar pada konten yang dihosting di Wiki Server mungkin menyertakan skrip yang dikodekan dalam kumpulan karakter alternatif. Hal ini dapat menyebabkan serangan penulisan skrip lintas situs terhadap pengguna Wiki Server. Masalah ini diatasi dengan menentukan kumpulan karakter untuk dokumen dalam respons HTTP.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: