Dokumen ini menjelaskan konten keamanan OS X Lion v10.7.3 dan Pembaruan Keamanan 2012-001, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".


OS X Lion v10.7.3 dan Pembaruan Perangkat Lunak 2012-001
- 

- 

Buku Alamat

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat mencegat data CardDAV

 
Deskripsi: Buku Alamat mendukung Secure Sockets Layer (SSL) untuk mengakses CardDAV. Masalah penurunan yang mengakibatkan Buku Alamat mencoba koneksi tidak dienkripsi jika koneksi terenkripsi gagal. Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat menyalahgunakan perilaku ini untuk mencegat data CardDAV. Masalah ini ditangani dengan tidak menurunkan ke koneksi tidak terenkripsi tanpa persetujuan pengguna.

CVE-ID

CVE-2011-3444 : Bernard Desruisseaux dari Oracle Corporation

 

- 

- 

Apache

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Beberapa kerentanan dalam Apache

Deskripsi: Apache diperbarui ke versi 2.2.21 untuk mengatasi berbagai kerentanan, yang paling berat yang mengakibatkan penolakan layanan. Informasi lebih lanjut tersedia melalui situs web Apache di http://httpd.apache.org/

CVE-ID

CVE-2011-3348

 

- 

- 

Apache

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Apache menonaktifkan langkah pencegahan 'fragmen kosong' yang mencegah serangan ini. Masalah ini diatasi dengan menyediakan parameter konfigurasi untuk mengendalikan langkah pencegahan dan mengaktifkannya secara default.

CVE-ID

CVE-2011-3389

 

- 

- 

ATS

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Membuka font di Font Book perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah pengelolaan memori muncul pada penanganan file data-font ATS saat dibuka oleh Font Book.

CVE-ID

CVE-2011-3446 : Will Dormann dari CERT/CC

 

- 

- 

CFNetwork

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan informasi yang sensitif.

Deskripsi: Masalah muncul saat menangani URL CFNetwork yang cacat. Saat mengakses URL yang dibuat berbahaya, CFNetwork dapat mengirimkan permintaan ke server asal yang salah. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

CVE-ID

CVE-2011-3246 : Erling Ellingsen dari Facebook

 

- 

- 

CFNetwork

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan informasi yang sensitif.

Deskripsi: Masalah muncul saat menangani URL CFNetwork yang cacat. Saat mengakses URL yang dibuat berbahaya, CFNetwork dapat mengirimkan header permintaan yang tak terduga. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

CVE-ID

CVE-2011-3447 : Erling Ellingsen dari Facebook

 

- 

- 

ColorSync

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Dampak: Menampilkan gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan bilangan bulat muncul saat menangani gambar dengan profil ColorSync tersemat, yang dapat mengakibatkan tumpukan kelebihan buffer. Masalah ini tidak memengaruhi sistem OS X Lion.

CVE-ID

CVE-2011-0200 : binaryproof bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

CoreAudio

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Dampak: Memutar konten audio perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan proses buffer muncul saat menangani stream audio yang dikodekan AAC. Masalah ini tidak memengaruhi sistem OS X Lion.

CVE-ID

CVE-2011-3252 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

CoreMedia

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer muncul saat menangani file film yang dikodekan H.264 pada CoreMedia.

CVE-ID

CVE-2011-3448 : Scott Stender dari iSEC Partners

 

- 

- 

CoreText

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan muncul saat menangani file font.

CVE-ID

CVE-2011-3449 : Will Dormann dari CERT/CC

 

- 

- 

CoreUI

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah alokasi tumpukan tak terbatas muncul saat menangani URL panjang. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

CVE-ID

CVE-2011-3450 : Ben Syverson

 

- 

- 

curl

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Server jarak jauh dapat menyamar sebagai klien melalui permintaan GSSAPI

Deskripsi: Saat melakukan pengesahan GSSAPI, libcurl menjalankan penyerahan kredensial tanpa syarat. Masalah ini diatasi dengan menonaktifkan delegasi kredensial GSSAPI.

CVE-ID

CVE-2011-2192

 

- 

- 

Keamanan Data

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mencegat informasi pengesahan pengguna atau informasi rahasia lainnya

Deskripsi: Dua otoritas sertifikat dalam daftar sertifikat dasar tepercaya telah menerbitkan sertifikat menengah secara independen ke DigiCert Malaysia. DigiCert Malaysia telah menerbitkan sertifikat dengan kunci lemah yang tidak dapat ditarik kembali. Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat mencegat kredensial pengguna atau informasi sensitif lain yang ditujukan untuk situs dengan sertifikat yang diterbitkan oleh DigiCert Malaysia. Masalah ini diatasi dengan mengonfigurasi pengaturan kepercayaan sistem default sehingga sertifikat DigiCert Malaysia tidak dipercayai. Kami ingin berterima kasih kepada Bruce Morton dari Entrust, Inc. atas pelaporan masalah ini.

 

- 

- 

dovecot

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Dovecot menonaktifkan langkah pencegahan 'fragmen kosong' yang mencegah serangan ini. Masalah ini diatasi dengan mengaktifkan langkah pencegahan.

CVE-ID

CVE-2011-3389 : Apple

 

- 

- 

filecmds

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Mendekompres file terkompresi perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer muncul pada alat baris perintah 'uncompress'.

CVE-ID

CVE-2011-2895

 

- 

- 

ImageIO

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Melihat file TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode yang acak

Penjelasan: Proses buffering yang berlebihan terjadi saat menangani gambar TIFF atau libtiff yang dikodekan ThunderScan. Masalah ini diatasi dengan memperbarui libtiff ke versi 3.9.5.

CVE-ID

CVE-2011-1167

 

- 

- 

ImageIO

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Beberapa kerentanan dalam libpng 1.5.4

Deskripsi: libpng diperbarui ke versi 1.5.5 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html

CVE-ID

CVE-2011-3328

 

- 

- 

Berbagi Internet

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Jaringan Wi-Fi yang dibuat oleh Berbagi Internet dapat kehilangan pengaturan keamanan setelah pembaruan sistem

Deskripsi: Setelah memperbarui ke versi OS X Lion sebelum 10.7.3, konfigurasi Wi-Fi yang digunakan oleh Berbagi Internet mungkin kembali ke pengaturan default pabrik, yang menonaktifkan kata sandi WEP. Masalah ini hanya mempengaruhi sistem yang mengaktifkan Berbagi Internet dan membagikan koneksinya ke Wi-Fi. Masalah ini diatasi dengan mempertahankan konfigurasi Wi-Fi selama pembaruan sistem.

CVE-ID

CVE-2011-3452 : seorang peneliti anonim

 

- 

- 

Libinfo

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Mengunjungi situs web yang dibuat berbahaya dapat mengakibatkan pengungkapan informasi yang sensitif.

Deskripsi: Masalah muncul saat menangani permintaan pencarian nama host Libinfo. Libinfo dapat mengembalikan hasil yang tidak benar untuk nama host yang dibuat berbahaya. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

CVE-ID

CVE-2011-3441 : Erling Ellingsen dari Facebook

 

- 

- 

libresolv

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Aplikasi yang menggunakan perpustakaan libresolv OS X dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan integer muncul saat penguraian rekaman sumber daya DNS, yang dapat mengakibatkan kerusakan tumpukan memori.

CVE-ID

CVE-2011-3453 : Ilja van Sprundel dari IOActive

 

- 

- 

libsecurity

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Beberapa sertifikat EV mungkin dipercaya meskipun dasar yang terkait telah ditandai sebagai tidak tepercaya

Deskripsi: Kode sertifikat mempercayai sertifikat dasar untuk menandatangani sertifikat EV jika ada dalam daftar penerbit EV yang dikenal, meskipun pengguna telah menandainya sebagai 'Jangan Pernah Percaya' di Rantai Kunci. Dasar tidak akan dipercaya untuk menandatangani sertifikat non-EV.

CVE-ID

CVE-2011-3422 : Alastair Houghton

 

- 

- 

OpenGL

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Aplikasi yang menggunakan implementasi OpenGL OS X dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan beberapa memori muncul saat menangani kompilasi GLSL.

CVE-ID

CVE-2011-3457 : Chris Evans dari Tim Keamanan Google Chrome, dan Marc Schoenefeld dari Tim Respons Keamanan Red Hat

 

- 

- 

PHP

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Beberapa kerentanan dalam PHP 5.3.6

Deskripsi: PHP diperbarui ke versi 5.3.8 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net

CVE-ID

CVE-2011-1148

CVE-2011-1657

CVE-2011-1938

CVE-2011-2202

CVE-2011-2483

CVE-2011-3182

CVE-2011-3189

CVE-2011-3267

CVE-2011-3268

 

- 

- 

PHP

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori muncul saat menangani fon Type 1 FreeType. Masalah ini diatasi dengan memperbarui FreeType ke versi 2.4.7. Informasi lebih lanjut tersedia melalui situs FreeType di http://www.freetype.org/

CVE-ID

CVE-2011-3256 : Apple

 

- 

- 

PHP

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Beberapa kerentanan dalam libpng 1.5.4

Deskripsi: libpng diperbarui ke versi 1.5.5 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html

CVE-ID

CVE-2011-3328

 

- 

- 

QuickTime

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Membuka file yang dikodekan MP4 perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah akses memori yang tidak diinisialisasi terjadi dalam penanganan file yang dikodekan MP4.

CVE-ID

CVE-2011-3458 : Luigi Auriemma dan pa_kt keduanya bekerja dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

QuickTime

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah tanda tangan muncul saat menangani tabel font yang tersemat di file film QuickTime.

CVE-ID

CVE-2011-3248 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

QuickTime

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer off by one muncul saat menangani rdrf atoms di file film QuickTime.

CVE-ID

CVE-2011-3459 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

QuickTime

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Menampilkan file gambar JPEG2000 perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer muncul saat menangani file JPEG2000.

CVE-ID

CVE-2011-3250 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

QuickTime

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Memroses gambar PNG yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer

Deskripsi: Kelebihan buffer muncul saat menangani file PNG.

CVE-ID

CVE-2011-3460 : Luigi Auriemma bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

QuickTime

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Aliran buffer terjadi dalam penanganan dari file film yang dikodekan FLC

CVE-ID

CVE-2011-3249 : Matt 'j00ru' Jurczyk bekerja sama dengan Zero Day Initiative yang didirikan TippingPoint

 

- 

- 

SquirrelMail

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Dampak: Beberapa kerentanan dalam SquirrelMail

Deskripsi: SquirrelMail diperbarui ke versi 1.4.22 untuk menangani beberapa kerentanan, yang paling serius adalah masalah skripting lintas situs. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi lebih lanjut tersedia melalui situs web SquirrelMail di http://www.SquirrelMail.org/

CVE-ID

CVE-2010-1637

CVE-2010-2813

CVE-2010-4554

CVE-2010-4555

CVE-2011-2023

 

- 

- 

Subversi

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Mengakses repositori Subversi dapat mengakibatkan terungkapnya informasi sensitif

Deskripsi: Subversi diperbarui dengan versi 1.6.17 untuk menangani beberapa kerentanan, yang paling serius dapat mengakibatkan pengungkapan informasi sensitif. Informasi lebih lanjut tersedia melalui situs web Subversi pada http://subversion.apache.org/

CVE-ID

CVE-2011-1752

CVE-2011-1783

CVE-2011-1921

 

- 

- 

Time Machine

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Penyerang jarak jauh dapat mengakses cadangan baru yang dibuat oleh sistem pengguna

Deskripsi: Pengguna dapat menunjuk volume AFP jarak jauh atau Time Capsule untuk digunakan sebagai cadangan Time Machine. Time Machine tidak memverifikasi bahwa perangkat yang sama sedang digunakan untuk operasi pencadangan selanjutnya. Penyerang yang mampu mengelabui volume jarak jauh dapat memperoleh akses ke cadangan baru yang dibuat oleh sistem pengguna. Masalah ini ditangani dengan memverifikasi pengidentifikasi unik yang terkait dengan disk untuk operasi pencadangan.

CVE-ID

CVE-2011-3462 : Michael Roitzsch dari Technische Universität Dresden

 

- 

- 

Tomcat

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

Dampak: Beberapa kerentanan dalam Tomcat 6.0.32

Deskripsi: Tomcat diperbarui ke versi 6.0.33 untuk mengatasi beberapa kerentanan. Kerentanan yang paling serius dapat mengakibatkan pengungkapan informasi sensitif. Tomcat hanya disediakan di sistem Server Mac OS X. Masalah ini tidak memengaruhi sistem OS X Lion. Informasi lebih lanjut tersedia melalui situs Tomcat di http://tomcat.apache.org/

CVE-ID

CVE-2011-2204

 

- 

- 

WebDAV Sharing

Tersedia untuk: OS X Lion Server v10.7 hingga v10.7.2

Dampak: Pengguna lokal bisa mendapatkan hak istimewa sistem

Deskripsi: Masalah muncul saat menangani pengesahan pengguna WebDAV Sharing. Pengguna dengan akun yang sah pada server atau salah satu direktori yang terikat dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.

CVE-ID

CVE-2011-3463 : Gordon Davisson dari Crywolf

 

- 

- 

Webmail

Tersedia untuk: OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Melihat pesan perusak yang berbahaya dapat mengakibatkan pengungkapan konten pesan

Deskripsi: Kerentanan skripting lintas situs terjadi dalam penanganan pesan email. Masalah ini diatasi dengan memperbarui Roundcube Webmail ke versi 0.6. Masalah ini tidak memengaruhi sistem sebelum OS X Lion. Informasi lebih lanjut tersedia melalui situs web Roundcube di http://trac.roundcube.net/

CVE-ID

CVE-2011-2937

 

- 

- 

X11

Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.2, OS X Lion Server v10.7 hingga v10.7.2

Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori muncul saat menangani fon Type 1 FreeType. Masalah ini diatasi dengan memperbarui FreeType ke versi 2.4.7. Informasi lebih lanjut tersedia melalui situs FreeType di http://www.freetype.org/

CVE-ID

CVE-2011-3256 : Apple