Mengenai Pembaruan Keamanan 2010-005

Dokumen ini menjelaskan tentang Pembaruan Keamanan 2010-005.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

Pembaruan Keamanan 2010-005

  • ATS

    CVE-ID: CVE-2010-1808

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Melihat atau mengunduh dokumen yang berisi font tersemat yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer tumpukan saat Apple Type Services menangani font tersemat. Membuka atau mengunduh dokumen yang berisi font tersemat perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan.

  • CFNetwork

    CVE-ID: CVE-2010-1800

    Tersedia untuk: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Penyerang dengan posisi jaringan berhak istimewa dapat memperoleh kredensial atau informasi sensitif pengguna lainnya

    Deskripsi: CFNetwork mengizinkan koneksi TLS/SSL anonim. Ini memungkinkan penyerang man-in-the-middle mengalihkan koneksi dan memperoleh kredensial atau informasi sensitif pengguna lainnya. Masalah ini tidak memengaruhi app Mail. Masalah ini diatasi dengan menonaktifkan koneksi TLS/SSL anonim. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6.3. Terima kasih kepada Aaron Sigel dari vtty.com, Jean-Luc Giraud dari Citrix, Tomas Bjurman dari Sirius IT, dan Wan-Teh Chang dari Google, Inc. yang telah melaporkan masalah ini.

  • ClamAV

    CVE-ID: CVE-2010-0098, CVE-2010-1311

    Tersedia untuk: Mac OS X Server v10.5.8, Mac OS X Server v10.6.4

    Dampak: Beberapa kerentanan dalam ClamAV

    Deskripsi: Terdapat beberapa kerentanan dalam ClamAV. Kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah dengan memperbarui ClamAV ke versi 0.96.1. ClamAV hanya didistribusikan dengan sistem Mac OS X Server. Informasi lebih lanjut dapat diakses melalui situs web ClamAV di http://www.clamav.net/

  • CoreGraphics

    CVE-ID: CVE-2010-1801

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Membuka file PDF yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer tumpukan saat CoreGraphics menangani file PDF. Membuka file PDF yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi melalui pemeriksaan batas yang ditingkatkan. Terima kasih kepada Rodrigo Rubira Branco dari Check Point Vulnerability Discovery Team (VDT) yang telah melaporkan masalah ini.

  • libsecurity

    CVE-ID: CVE-2010-1802

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Penyerang dengan posisi jaringan berhak istimewa yang dapat mengambil nama domain yang perbedaannya hanya terdapat pada karakter terakhir nama domain asli dapat menirukan host dalam domain tersebut

    Deskripsi: Terdapat masalah dalam penanganan nama host. Untuk nama host yang berisi 3 komponen atau lebih, karakter terakhirnya tidak akan dibandingkan dengan benar. Jika nama berisi 3 komponen, hanya karakter terakhir yang tidak akan diperiksa. Contohnya, jika penyerang dengan posisi jaringan berhak istimewa dapat mengambil sertifikat untuk www.example.con, penyerang dapat menirukan www.example.com. Masalah ini diatasi melalui penyempurnaan penanganan nama host sertifikat. Terima kasih kepada Peter Speck yang telah melaporkan masalah ini.

  • PHP

    CVE-ID: CVE-2010-1205

    Tersedia untuk: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Memuat gambar PNG yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer dalam perpustakaan libpng PHP. Memuat gambar PNG yang berbahaya dapat menyebabkan penghentian app secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini diatasi dengan memperbarui libpng dalam PHP ke versi 1.4.3. Masalah ini tidak memengaruhi sistem sebelum Mac OS X v10.6.

  • PHP

    CVE-ID: CVE-2010-1129, CVE-2010-0397, CVE-2010-2225, CVE-2010-2484

    Tersedia untuk: Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Beberapa kerentanan dalam PHP 5.3.1

    Deskripsi: PHP diperbarui ke versi 5.3.2 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net/

  • Samba

    CVE-ID: CVE-2010-2063

    Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.4, Mac OS X Server v10.6.4

    Dampak: Penyerang jarak jauh tanpa autentikasi dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer di Samba. Penyerang jarak jauh tanpa autentikasi dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer dengan mengirimkan paket yang berbahaya. Masalah ini diatasi dengan melakukan validasi tambahan untuk paket di Samba.

Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: