Tentang konten keamanan OS X Lion v10.7.3 dan Pembaruan Keamanan 2012-001

Dokumen ini menjelaskan konten keamanan dari OS X Lion v10.7.3 dan Pembaruan Keamanan 2012-001.

Dokumen ini menjelaskan konten keamanan OS X Lion v10.7.3 dan Pembaruan Keamanan 2012-001, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
 

OS X Lion v10.7.3 dan Pembaruan Perangkat Lunak 2012-001

  • Buku Alamat

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat mencegat data CardDAV

    Deskripsi: Buku Alamat mendukung Secure Sockets Layer (SSL) untuk mengakses CardDAV. Masalah penurunan yang mengakibatkan Buku Alamat mencoba koneksi tidak dienkripsi jika koneksi terenkripsi gagal. Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat menyalahgunakan perilaku ini untuk mencegat data CardDAV. Masalah ini ditangani dengan tidak menurunkan ke koneksi tidak terenkripsi tanpa persetujuan pengguna.

    CVE-ID

    CVE-2011-3444 : Bernard Desruisseaux dari Oracle Corporation

  • Apache

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Beberapa kerentanan dalam Apache

    Deskripsi: Apache diperbarui ke versi 2.2.21 untuk mengatasi berbagai kerentanan, yang paling berat yang mengakibatkan penolakan layanan. Informasi lebih lanjut tersedia melalui situs web Apache di http://httpd.apache.org/

    CVE-ID

    CVE-2011-3348

  • Apache

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Apache menonaktifkan langkah pencegahan 'fragmen kosong' yang mencegah serangan ini. Masalah ini diatasi dengan menyediakan parameter konfigurasi untuk mengendalikan langkah pencegahan dan mengaktifkannya secara default.

    CVE-ID

    CVE-2011-3389

  • ATS

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Membuka font di Font Book perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah pengelolaan memori muncul pada penanganan file data-font ATS saat dibuka oleh Font Book.

    CVE-ID

    CVE-2011-3446 : Will Dormann dari CERT/CC

  • CFNetwork

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan informasi yang sensitif.

    Deskripsi: Masalah muncul saat menangani URL CFNetwork yang cacat. Saat mengakses URL yang dibuat berbahaya, CFNetwork dapat mengirimkan permintaan ke server asal yang salah. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3246 : Erling Ellingsen dari Facebook

  • CFNetwork

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan informasi yang sensitif.

    Deskripsi: Masalah muncul saat menangani URL CFNetwork yang cacat. Saat mengakses URL yang dibuat berbahaya, CFNetwork dapat mengirimkan header permintaan yang tak terduga. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3447 : Erling Ellingsen dari Facebook

  • ColorSync

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Menampilkan gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat muncul saat menangani gambar dengan profil ColorSync tersemat, yang dapat mengakibatkan tumpukan kelebihan buffer. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-0200 : binaryproof bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • CoreAudio

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Memutar konten audio perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan proses buffer muncul saat menangani stream audio yang dikodekan AAC. Masalah ini tidak memengaruhi sistem OS X Lion.

    CVE-ID

    CVE-2011-3252 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • CoreMedia

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file film yang dikodekan H.264 pada CoreMedia.

    CVE-ID

    CVE-2011-3448 : Scott Stender dari iSEC Partners

  • CoreText

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah penggunaan setelah pengosongan muncul saat menangani file font.

    CVE-ID

    CVE-2011-3449 : Will Dormann dari CERT/CC

  • CoreUI

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah alokasi tumpukan tak terbatas muncul saat menangani URL panjang. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3450 : Ben Syverson

  • curl

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Server jarak jauh dapat menyamar sebagai klien melalui permintaan GSSAPI

    Deskripsi: Saat melakukan pengesahan GSSAPI, libcurl menjalankan penyerahan kredensial tanpa syarat. Masalah ini diatasi dengan menonaktifkan delegasi kredensial GSSAPI.

    CVE-ID

    CVE-2011-2192

  • Keamanan Data

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mencegat informasi pengesahan pengguna atau informasi rahasia lainnya

    Deskripsi: Dua otoritas sertifikat dalam daftar sertifikat dasar tepercaya telah menerbitkan sertifikat menengah secara independen ke DigiCert Malaysia. DigiCert Malaysia telah menerbitkan sertifikat dengan kunci lemah yang tidak dapat ditarik kembali. Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat mencegat kredensial pengguna atau informasi sensitif lain yang ditujukan untuk situs dengan sertifikat yang diterbitkan oleh DigiCert Malaysia. Masalah ini diatasi dengan mengonfigurasi pengaturan kepercayaan sistem default sehingga sertifikat DigiCert Malaysia tidak dipercayai. Kami ingin berterima kasih kepada Bruce Morton dari Entrust, Inc. atas pelaporan masalah ini.

  • dovecot

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Dovecot menonaktifkan langkah pencegahan 'fragmen kosong' yang mencegah serangan ini. Masalah ini diatasi dengan mengaktifkan langkah pencegahan.

    CVE-ID

    CVE-2011-3389 : Apple

  • filecmds

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Mendekompres file terkompresi perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul pada alat baris perintah 'uncompress'.

    CVE-ID

    CVE-2011-2895

  • ImageIO

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Melihat file TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode yang acak

    Penjelasan: Proses buffering yang berlebihan terjadi saat menangani gambar TIFF atau libtiff yang dikodekan ThunderScan. Masalah ini diatasi dengan memperbarui libtiff ke versi 3.9.5.

    CVE-ID

    CVE-2011-1167

  • ImageIO

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Beberapa kerentanan dalam libpng 1.5.4

    Deskripsi: libpng diperbarui ke versi 1.5.5 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-3328

  • Berbagi Internet

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Jaringan Wi-Fi yang dibuat oleh Berbagi Internet dapat kehilangan pengaturan keamanan setelah pembaruan sistem

    Deskripsi: Setelah memperbarui ke versi OS X Lion sebelum 10.7.3, konfigurasi Wi-Fi yang digunakan oleh Berbagi Internet mungkin kembali ke pengaturan default pabrik, yang menonaktifkan kata sandi WEP. Masalah ini hanya mempengaruhi sistem yang mengaktifkan Berbagi Internet dan membagikan koneksinya ke Wi-Fi. Masalah ini diatasi dengan mempertahankan konfigurasi Wi-Fi selama pembaruan sistem.

    CVE-ID

    CVE-2011-3452 : seorang peneliti anonim

  • Libinfo

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan informasi yang sensitif.

    Deskripsi: Masalah muncul saat menangani permintaan pencarian nama host Libinfo. Libinfo dapat mengembalikan hasil yang tidak benar untuk nama host yang dibuat berbahaya. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3441 : Erling Ellingsen dari Facebook

  • libresolv

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Aplikasi yang menggunakan perpustakaan libresolv OS X dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan integer muncul saat penguraian rekaman sumber daya DNS, yang dapat mengakibatkan kerusakan tumpukan memori.

    CVE-ID

    CVE-2011-3453 : Ilja van Sprundel dari IOActive

  • libsecurity

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Beberapa sertifikat EV mungkin dipercaya meskipun dasar yang terkait telah ditandai sebagai tidak tepercaya

    Deskripsi: Kode sertifikat mempercayai sertifikat dasar untuk menandatangani sertifikat EV jika ada dalam daftar penerbit EV yang dikenal, meskipun pengguna telah menandainya sebagai 'Jangan Pernah Percaya' di Rantai Kunci. Dasar tidak akan dipercaya untuk menandatangani sertifikat non-EV.

    CVE-ID

    CVE-2011-3422 : Alastair Houghton

  • OpenGL

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Aplikasi yang menggunakan implementasi OpenGL OS X dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan beberapa memori muncul saat menangani kompilasi GLSL.

    CVE-ID

    CVE-2011-3457 : Chris Evans dari Tim Keamanan Google Chrome, dan Marc Schoenefeld dari Tim Respons Keamanan Red Hat

  • PHP

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Beberapa kerentanan dalam PHP 5.3.6

    Deskripsi: PHP diperbarui ke versi 5.3.8 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net

    CVE-ID

    CVE-2011-1148

    CVE-2011-1657

    CVE-2011-1938

    CVE-2011-2202

    CVE-2011-2483

    CVE-2011-3182

    CVE-2011-3189

    CVE-2011-3267

    CVE-2011-3268

  • PHP

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani fon Type 1 FreeType. Masalah ini diatasi dengan memperbarui FreeType ke versi 2.4.7. Informasi lebih lanjut tersedia melalui situs FreeType di http://www.freetype.org/

    CVE-ID

    CVE-2011-3256 : Apple

  • PHP

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Beberapa kerentanan dalam libpng 1.5.4

    Deskripsi: libpng diperbarui ke versi 1.5.5 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html

    CVE-ID

    CVE-2011-3328

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Membuka file yang dikodekan MP4 perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah akses memori yang tidak diinisialisasi terjadi dalam penanganan file yang dikodekan MP4.

    CVE-ID

    CVE-2011-3458 : Luigi Auriemma dan pa_kt keduanya bekerja dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah tanda tangan muncul saat menangani tabel font yang tersemat di file film QuickTime.

    CVE-ID

    CVE-2011-3248 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer off by one muncul saat menangani rdrf atoms di file film QuickTime.

    CVE-ID

    CVE-2011-3459 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Menampilkan file gambar JPEG2000 perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file JPEG2000.

    CVE-ID

    CVE-2011-3250 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Memroses gambar PNG yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file PNG.

    CVE-ID

    CVE-2011-3460 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Aliran buffer terjadi dalam penanganan dari file film yang dikodekan FLC

    CVE-ID

    CVE-2011-3249 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

  • SquirrelMail

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan dalam SquirrelMail

    Deskripsi: SquirrelMail diperbarui ke versi 1.4.22 untuk menangani beberapa kerentanan, yang paling serius adalah masalah skripting lintas situs. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi lebih lanjut tersedia melalui situs web SquirrelMail di http://www.SquirrelMail.org/

    CVE-ID

    CVE-2010-1637

    CVE-2010-2813

    CVE-2010-4554

    CVE-2010-4555

    CVE-2011-2023

  • Subversi

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Mengakses repositori Subversi dapat mengakibatkan terungkapnya informasi sensitif

    Deskripsi: Subversi diperbarui dengan versi 1.6.17 untuk menangani beberapa kerentanan, yang paling serius dapat mengakibatkan pengungkapan informasi sensitif. Informasi lebih lanjut tersedia melalui situs web Subversi pada http://subversion.apache.org/

    CVE-ID

    CVE-2011-1752

    CVE-2011-1783

    CVE-2011-1921

  • Time Machine

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Penyerang jarak jauh dapat mengakses cadangan baru yang dibuat oleh sistem pengguna

    Deskripsi: Pengguna dapat menunjuk volume AFP jarak jauh atau Time Capsule untuk digunakan sebagai cadangan Time Machine. Time Machine tidak memverifikasi bahwa perangkat yang sama sedang digunakan untuk operasi pencadangan selanjutnya. Penyerang yang mampu mengelabui volume jarak jauh dapat memperoleh akses ke cadangan baru yang dibuat oleh sistem pengguna. Masalah ini ditangani dengan memverifikasi pengidentifikasi unik yang terkait dengan disk untuk operasi pencadangan.

    CVE-ID

    CVE-2011-3462 : Michael Roitzsch dari Technische Universität Dresden

  • Tomcat

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Beberapa kerentanan dalam Tomcat 6.0.32

    Deskripsi: Tomcat diperbarui ke versi 6.0.33 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius dapat mengakibatkan pengungkapan informasi sensitif. Tomcat hanya disediakan di sistem Server Mac OS X. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi lebih lanjut tersedia melalui situs Tomcat di http://tomcat.apache.org/

    CVE-ID

    CVE-2011-2204

  • WebDAV Sharing

    Tersedia untuk: OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Pengguna lokal bisa mendapatkan hak istimewa sistem

    Deskripsi: Masalah muncul saat menangani pengesahan pengguna WebDAV Sharing. Pengguna dengan akun yang sah pada server atau salah satu direktori yang terikat dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

    CVE-ID

    CVE-2011-3463 : Gordon Davisson dari Crywolf

  • Webmail

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Melihat pesan perusak yang berbahaya dapat mengakibatkan pengungkapan konten pesan

    Deskripsi: Kerentanan skripting lintas situs terjadi dalam penanganan pesan email. Masalah ini diatasi dengan memperbarui Roundcube Webmail ke versi 0.6. Masalah ini tidak memengaruhi sistem sebelum OS X Lion. Informasi lebih lanjut tersedia melalui situs web Roundcube di http://trac.roundcube.net/

    CVE-ID

    CVE-2011-2937

  • X11

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

    Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani fon Type 1 FreeType. Masalah ini diatasi dengan memperbarui FreeType ke versi 2.4.7. Informasi lebih lanjut tersedia melalui situs FreeType di http://www.freetype.org/

    CVE-ID

    CVE-2011-3256 : Apple

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: