Tentang konten keamanan OS X Lion v10.7.2 dan Pembaruan Keamanan 2011-006

Dokumen ini menjelaskan konten keamanan OS X Lion v10.7.2 dan Pembaruan Keamanan 2011-006.

Dokumen ini menjelaskan konten keamanan OS X Lion v10.7.2 dan Pembaruan Keamanan 2011-006, yang dapat diunduh dan diinstal melalui preferensi Software Update (Pembaruan Perangkat Lunak), atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
 

OS X Lion v10.7.2 dan Pembaruan Keamanan 2011-006

  • Apache

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Beberapa kerentanan dalam Apache

    Deskripsi: Apache diperbarui ke versi 2.2.20 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan penolakan layanan. CVE-2011-0419 tidak memengaruhi sistem OS X Lion. Informasi lebih lanjut tersedia melalui situs web Apache di http://httpd.apache.org/

    CVE-ID

    CVE-2011-0419

    CVE-2011-3192

  • Firewall Aplikasi

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menjalankan biner dengan nama perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa lebih tinggi

    Deskripsi: Kerentanan string format muncul di Firewall Aplikasi saat pencatatan debug.

    CVE-ID

    CVE-2011-0185 : pelapor anonim

  • ATS

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah penandatanganan muncul saat ATS menangani fon Jenis 1. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3437

  • ATS

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah akses memori di luar batas muncul saat ATS menangani fon Jenis 1. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0229 : Will Dormann dari CERT/CC

  • ATS

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Aplikasi yang menggunakan API ATSFontDeactivate mungkin rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kelebihan buffer muncul di API ATSFontDeactivate.

    CVE-ID

    CVE-2011-0230 : Steven Michaud dari Mozilla

  • BIND

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Beberapa kerentanan dalam BIND 9.7.3

    Deskripsi: Beberapa masalah penolakan layanan muncul di BIND 9.7.3. Masalah tersebut diatasi dengan memperbarui BIND ke versi 9.7.3-P3.

    CVE-ID

    CVE-2011-1910

    VE-2011-2464

  • BIND

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan dalam BIND

    Deskripsi: Beberapa masalah penolakan layanan muncul di BIND. Masalah tersebut diatasi dengan memperbarui BIND ke versi 9.6-ESV-R4-P3.

    CVE-ID

    CVE-2009-4022

    CVE-2010-0097

    CVE-2010-3613

    CVE-2010-3614

    CVE-2011-1910

    VE-2011-2464

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1.

    Dampak: Sertifikat dasar telah diperbarui

    Deskripsi: Beberapa sertifikat tepercaya telah ditambahkan ke daftar dasar sistem. Beberapa sertifikat yang ada telah diperbarui ke versi yang terbaru. Daftar lengkap dasar sistem yang dikenali dapat dilihat melalui aplikasi Akses Rantai Kunci.

  • CFNetwork

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Safari dapat menyimpan cookie yang tidak dikonfigurasi untuk menerima

    Deskripsi: Masalah sinkronisasi muncul saat CFNetwork menangani kebijakan cookie. Preferensi cookie Safari mungkin tidak dipatuhi, memungkinkan situs web untuk mengatur cookie yang akan diblokir ketika preferensi diberlakukan. Pembaruan ini mengatasi masalah tersebut melalui peningkatan penanganan penyimpanan cookie.

    CVE-ID

    CVE-2011-0231 : Martin Tessarek, Steve Riggins of Geeks R Us, Justin C. Walker, dan Stephen Creswell

  • CFNetwork

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan pengungkapan informasi sensitif.

    Deskripsi: Masalah muncul saat CFNetwork menangani cookie HTTP. Ketika mengakses HTTP atau URL HTTPS perusak yang berbahaya, CFNetwork dapat mengirim cookie yang salah untuk domain ke server di luar domain tersebut. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3246 : Erling Ellingsen dari Facebook

  • CoreFoundation

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan situs web atau pesan email perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat CoreFoundation menangani tokenisasi string. Masalah ini tidak memengaruhi sistem OS X Lion. Pembaruan ini mengatasi masalah tersebut melalui pemeriksaan batas-batas yang ditingkatkan.

    CVE-ID

    CVE-2011-0259 : Apple

  • CoreMedia

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan pengungkapan data video dari situs lain

    Deskripsi: Masalah lintas sumber muncul saat CoreMedia menangani pengalihan lintas situs. Masalah ini diatasi melalui peningkatan pelacakan sumber.

    CVE-ID

    CVE-2011-0187 : Nirankush Panchbhai dan Microsoft Vulnerability Research (MSVR)

  • CoreMedia

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file film QuickTime. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0224 : Apple

  • CoreProcesses

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Seseorang dengan akses fisik ke sistem dapat memintas sebagian kunci layar

    Deskripsi: Jendela sistem, seperti perintah kata sandi VPN, yang muncul ketika layar terkunci dapat menerima penekanan tombol saat layar terkunci. Masalah ini diatasi dengan mencegah jendela sistem meminta penekanan tombol ketika layar terkunci. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-0260 : Clint Tseng dari University of Washington, Michael Kobb, dan Adam Kemp

  • CoreStorage

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Mengonversi ke FileVault tidak menghapus semua data yang ada

    Deskripsi: Setelah mengaktifkan FileVault, kira-kira 250MB pada awal volume tidak terenkripsi pada disk dalam area yang tidak digunakan. Hanya data yang ada di volume sebelum FileVault diaktifkan yang tidak terenkripsi. Masalah ini diatasi dengan menghapus area ini ketika mengaktifkan FileVault, dan pada penggunaan pertama volume terenkripsi yang terpengaruh masalah ini. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3212 : Judson Powers dari ATC-NY

  • Sistem File

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Penyerang dalam posisi jaringan dengan hak istimewa dapat memanipulasi sertifikat server HTTPS, yang mengakibatkan pengungkapan informasi yang sensitif.

    Deskripsi: Masalah muncul saat menangani volume WebDAV di server HTTPS. Jika server memperlihatkan rantai sertifikat yang tidak dapat diverifikasi secara otomatis, peringatan akan ditampilkan dan sambungan ditutup. Jika pengguna mengeklik tombol "Lanjutkan" di dialog peringatan, semua sertifikat diterima pada sambungan berikutnya ke server tersebut. Penyerang dalam posisi jaringan dengan hak istimewa telah memanipulasi sambungan untuk memperoleh informasi sensitif atau mengambil tindakan pada server atas nama pengguna. Pembaruan ini mengatasi masalah tersebut dengan memvalidasi bahwa sertifikat yang diterima pada sambungan kedua adalah sertifikat yang sama yang awalnya diperlihatkan ke pengguna.

    CVE-ID

    CVE-2011-3213 : Apple

  • IOGraphics

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Seseorang dengan akses fisik dapat memintas kunci layar.

    Deskripsi: Masalah muncul pada kunci layar saat digunakan dengan Layar Sinema Apple. Saat kata sandi diminta untuk membangunkan dari tidur, seseorang dengan akses fisik mungkin dapat mengakses sistem tanpa memasukkan kata sandi jika sistem berada di mode layar tidur. Pembaruan ini mengatasi masalah dengan memastikan bahwa layar kunci diaktifkan dengan benar dalam mode layar tidur. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-3214 : Apple

  • iChat Server

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Penyerang jarak jauh dapat menyebabkan server Jabber menggunakan sumber daya sistem secara tidak proposional

    Deskripsi: Masalah muncul saat menangani entitas eksternal XML di jabberd2, server untuk Extensible Messaging dan Presence Protocol (XMPP). jabberd2 memperluas entitas eksternal di permintaan yang masuk. Hal ini memungkinkan penyerang untuk menggunakan sumber daya sistem dengan sangat cepat, menolak layanan ke pengguna server yang sah. Pembaruan ini mengatasi masalah dengan menonaktifkan perluasan entitas di permintaan yang masuk.

    CVE-ID

    CVE-2011-1755

  • Kernel

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Seseorang dengan akses fisik mungkin dapat mengakses kata sandi pengguna

    Deskripsi: Kesalahan logika di perlindungan DMA kernel mengizinkan DMA firewire pada loginwindow, boot, dan penutupan, meskipun tidak pada kunci layar. Pembaruan ini mengatasi masalah dengan mencegah DMA firewire pada semua keadaan saat pengguna sedang tidak masuk.

    CVE-ID

    CVE-2011-3215 : Passware, Inc.

  • Kernel

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Pengguna tanpa hak istimewa mungkin dapat menghapus file pengguna lain di direktori bersama

    Deskripsi: Kesalahan logika muncul saat kernel menangani penghapusan file di direktori dengan sticky bit.

    CVE-ID

    CVE-2011-3216 : Gordon Davisson dari Crywolf, Linc Davis, R. Dormer, dan Allan Schmid dan Oliver Jeckel dari brainworks Training

  • libsecurity

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan situs web atau pesan email perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah penanganan kesalahan muncul ketika menguraikan ekstensi daftar pencabutan sertifikat non-standar.

    CVE-ID

    CVE-2011-3227 : Richard Godbee dari Virginia Tech

  • Mailman

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan di Mailman 2.1.14

    Deskripsi: Beberapa masalah skripting lintas situs muncul di Mailman 2.1.14. Masalah tersebut diatasi dengan peningkatan pengodean karakter di output HTML. Informasi selengkapnya tersedia melalui situs Mailman di http://mail.python.org/pipermail/mailman-announce/2011-February/000158.html Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0707

  • MediaKit

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Membuka image disk perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani image disk. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-3217 : Apple

  • Open Directory

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Setiap pengguna dapat membaca data kata sandi pengguna lokal lainnya

    Deskripsi: Masalah kontrol akses muncul di Open Directory. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3435 : Arek Dreyer dari Dreyer Network Consultants, Inc, dan Patrick Dunstan at defenseindepth.net

  • Open Directory

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Pengguna yang sah dapat mengubah kata sandi akun tersebut tanpa memberikan kata sandi terbaru

    Deskripsi: Masalah kontrol akses muncul di Open Directory. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3436 : Patrick Dunstan di defenceindepth.net

  • Open Directory

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Pengguna dapat masuk tanpa kata sandi

    Deskripsi: Ketika Open Directory terikat dengan server LDAPv3 mengggunakan RFC2307 atau pemetaan khusus, seperti tidak ada atribut AuthenticationAuthority untuk pengguna, pengguna LDAP dapat diizinkan untuk masuk tanpa kata sandi. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3226 : Jeffry Strunk dari The University of Texas di Austin, Steven Eppler dari Colorado Mesa University, Hugh Cole-Baker, dan Frederic Metoz dari Institut de Biologie Structurale

  • PHP

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah penandatanganan muncul saat FreeType menangani fon Jenis 1. Masalah ini diatasi dengan memperbarui FreeType ke versi 2.4.6. Masalah ini tidak memengaruhi sistem sebelum OS X Lion. Informasi selengkapnya tersedia melalui situs FreeType di http://www.freetype.org/

    CVE-ID

    VE-2011-0226

  • PHP

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Beberapa kerentanan di libpng 1.4.3

    Deskripsi: libpng diperbarui ke versi 1.5.4 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Informasi selanjutnya tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

  • PHP

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan di PHP 5.3.4

    Deskripsi: PHP diperbarui ke versi 5.3.6 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net/

    CVE-ID

    CVE-2010-3436

    CVE-2010-4645

    CVE-2011-0420

    CVE-2011-0421

    CVE-2011-0708

    CVE-2011-1092

    CVE-2011-1153

    CVE-2011-1466

    CVE-2011-1467

    CVE-2011-1468

    CVE-2011-1469

    CVE-2011-1470

    CVE-2011-1471

  • postfix

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan di Postfix

    Deskripsi: Postfix diperbarui ke versi 2.5.14 untuk mengatasi beberapa kerentanan, yang paling serius dapat memungkinkan penyerang di posisi jaringan dengan hak istimewa untuk memanipulasi sesi mail untuk mendapatkan informasi sensitif dari lalu lintas terenkripsi. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi selengkapnya tersedia melalui situs Postfix di http://www.postfix.org/announcements/postfix-2.7.3.html

    CVE-ID

    CVE-2011-0411

    CVE-2011-1720

  • python

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Beberapa kerentanan pada phyton

    Deskripsi: Beberapa kerentanan muncul pada python, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan menerapkan patch dari proyek python. Informasi selengkapnya tersedia melalui situs phyton di http://www.python.org/download/releases/

    CVE-ID

    CVE-2010-1634

    CVE-2010-2089

    CVE-2011-1521

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori muncul saat menangani file film QuickTime.

    CVE-ID

    CVE-2011-3228 : Apple

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Tumpukan kelebihan buffer muncul saat menangani atom STSC di file film QuickTime. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0249 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Tumpukan kelebihan buffer muncul saat menangani atom STSS di file film QuickTime. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0250 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Tumpukan kelebihan buffer muncul saat menangani atom STSZ di file film QuickTime. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0251 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Tumpukan kelebihan buffer muncul saat menangani atom STTS di file film QuickTime. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0252 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat memasukkan skrip dalam domain lokal ketika melihat template HTML

    Deskripsi: Masalah skripting lintas situs muncul di ekspor "Simpan untuk Web" pada QuickTime Player. File HTML template yang dihasilkan oleh fitur ini mereferensikan file skrip dari sumber non enkripsi. Penyerang di posisi jaringan dengan hak istimewa dapat memasukkan skrip berbahaya di domain lokal jika pengguna melihat file template secara lokal. Masalah ini diselesaikan dengan menghapus referensi ke skrip online. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-3218 : Aaron Sigel dari vtty.com

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat QuickTime menangani file film H.264 yang dikodekan.

    CVE-ID

    CVE-2011-3219 : Damian Put bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan pengungkapan konten memori

    Deskripsi: Masalah akses memori yang tidak diinisialisasi muncul saat QuickTime menangani pemegang data URL dalam file film.

    CVE-ID

    CVE-2011-3220 : Luigi Auriemma bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah penerapan muncul saat QuickTime menangani hierarki atom dalam file film.

    CVE-ID

    CVE-2011-3221 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Melihat file FlashPix perusak yang berbahaya dapat mengarah ke penghentian aplikasi secara tiba-tiba atau eksekusi kode yang acak

    Deskripsi: Kelebihan buffer muncul saat QuickTime menangani file FlashPix.

    CVE-ID

    CVE-2011-3222 : Damian Put bekerja sama dengan Zero Day Initiative dari TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat QuickTime menangani file FLIC.

    CVE-ID

    CVE-2011-3223 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative dari TippingPoint

  • Server File SMB

    Tersedia untuk: OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Pengguna tamu dapat menelusuri folder bersama

    Deskripsi: Masalah kontrol akses muncul di Server File SMB. Tidak mengizinkan akses tamu ke rekaman titik berbagi untuk folder mencegah pengguna '_unknown' menelusuri titik berbagi tetapi bukan tamu (pengguna 'nobody'). Masalah ini diatasi dengan menerapkan kontrol akses ke pengguna tamu. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3225

  • Tomcat

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan pada Tomcat 6.0.24

    Deskripsi: Tomcat diperbarui ke versi 6.0.32 untuk mengatasi beberapa kerentanan, yang paling serius dapat mengakibatkan serangan skripting lintas situs. Tomcat hanya disediakan di sistem Mac OS X Server. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi selengkapnya tersedia melalui situs Tomcat di http://tomcat.apache.org/

    CVE-ID

    CVE-2010-1157

    CVE-2010-2227

    CVE-2010-3718

    CVE-2010-4172

    CVE-2011-0013

    CVE-2011-0534

  • Dokumentasi Pengguna

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat memanipulasi konten bantuan App Store, yang mengakibatkan eksekusi kode arbitrer

    Deskripsi: Konten bantuan App Store telah diperbarui melalui HTTP. Pembaruan ini mengatasi masalah dengan memperbarui konten bantuan App Store melalui HTTPS. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-3224 : Aaron Sigel dari vtty.com dan Brian Mastenbrook

  • Server Web

    Tersedia untuk: Mac OS X Server v10.6.8

    Dampak: Klien tidak dapat mengakses layanan web yang meminta pengesahan digest

    Deskripsi: Masalah saat menangani pengesahan Digest HTTP telah diatasi. Pengguna dapat ditolak aksesnya ke sumber server, saat konfigurasi server seharusnya mengizinkan akses. Masalah ini tidak menunjukkan risiko keamanan, dan diatasi untuk memfasilitasi penggunaan mekanisme pengesahan yang lebih kuat. Sistem yang menjalankan OS X Lion Server tidak terpengaruh oleh masalah ini.

  • X11

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 dan v10.7.1, OS X Lion Server v10.7 dan v10.7.1

    Dampak: Beberapa kerentanan di libpng

    Deskripsi: Beberapa kerentanan muncul di libpng, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Masalah diatasi dengan memperbarui libpng ke versi 1.5.4 pada sistem OS Lion, dan ke 1.2.46 pada sistem Mac OS X v10.6. Informasi selanjutnya tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-2690

    CVE-2011-2691

    CVE-2011-2692

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: