Mengenai konten keamanan OS X Lion v10.7.4 dan Pembaruan Keamanan 2012-002
Dokumen ini menjelaskan konten keamanan OS X Lion v10.7.4 dan Pembaruan Keamanan 2012-002.
OS X Lion v10.7.4 dan Pembaruan Keamanan 2012-002 dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple".
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
OS X Lion v10.7.4 dan Pembaruan Keamanan 2012-002
Login Window (Jendela Masuk)
Tersedia untuk: OS X Lion v10.7.3, OS X Lion Server v10.7.3
Dampak: Admin Remote dan orang yang bisa mengakses sistem dapat memperoleh informasi akun
Deskripsi: Masalah muncul saat menangani masuk ke akun jaringan. Proses masuk mencatat informasi sensitif di catatan sistem, sehingga pengguna lain dari sistem tersebut dapat membacanya. Informasi sensitif masih ada di log yang disimpan setelah pembaruan ini diinstal. Masalah ini hanya memengaruhi sistem yang menjalankan OS X Lion v10.7.3 dengan pengguna Legacy File Vault (File Vault Versi Lama) dan/atau direktori utama berjaringan.
CVE-ID
CVE-2012-0652 : Terry Reeves dan Tim Winningham dari Ohio State University, Markus 'Jaroneko' Räty dari Finnish Academy of Fine Arts, Jaakko Pero dari Aalto University, Mark Cohen dari Oregon State University, Paul Nelson
Bluetooth
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Seorang pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kondisi pacu file sementara muncul di rutinitas inisialisasi blued.
CVE-ID
CVE-2012-0649 : Aaron Sigel dari vtty.com
curl
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL
Deskripsi: Terdapat serangan yang dikenal dalam bentuk kerahasiaan SSL 3.0 dan TLS 1.0 saat rangkaian chiper menggunakan kumpulan chiper dalam mode CBC. curl menonaktifkan tindakan balasan 'fragmen kosong' yang mencegah serangan tersebut. Masalah ini telah diatasi dengan mengaktifkan fragmen kosong.
CVE-ID
CVE-2011-3389 : Apple
curl
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Menggunakan curl atau libcurl beserta URL perusak yang berbahaya dapat mengakibatkan serangan injeksi data khusus protokol
Deskripsi: Masalah injeksi data muncul saat curl menangani URL. Masalah ini telah diatasi melalui validasi URL yang lebih baik. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.
CVE-ID
CVE-2012-0036
Directory Service (Layanan Direktori)
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Dampak: Penyerang dari jarak jauh dapat memperoleh informasi sensitif
Deskripsi: Beberapa masalah muncul saat server direktori menangani pesan dari jaringan. Dengan mengirim pesan perusak yang berbahaya, penyerang dari jarak jauh dapat mengakibatkan server direktori mengungkapkan memori dari ruang alamatnya, sehingga berpotensi mengakibatkan pengungkapan informasi pengesahan akun atau informasi sensitif lainnya. Masalah ini tidak memengaruhi sistem OS X Lion. Server Direktori dinonaktifkan secara default di penginstalan non-server untuk OS X.
CVE-ID
CVE-2012-0651 : Agustin Azubel
HFS
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Memasang image disk perusak yang berbahaya dapat mengakibatkan sistem mati atau eksekusi kode arbitrer
Deskripsi: Kekurangan bilangan bulat muncul saat menangani file katalog HFS.
CVE-ID
CVE-2012-0642 : pod2g
ImageIO
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Dampak: Menampilkan file TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbirer
Deskripsi: Kelebihan buffer muncul saat ImageIO menangani file TIFF yang dikodekan CCITT Group 4. Masalah ini tidak memengaruhi sistem OS X Lion.
CVE-ID
CVE-2011-0241 : Cyril CATTIAUX dari Tessi Technologies
ImageIO
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Dampak: Beberapa kerentanan di libpng
Deskripsi: libpng diperbarui ke versi 1.5.5 untuk mengatasi beberapa kerentanan, yang paling serius yang dapat mengakibatkan pengungkapan informasi. Informasi lebih lanjut tersedia melalui situs web libpng di http://www.libpng.org/pub/png/libpng.html
CVE-ID
CVE-2011-2692
CVE-2011-3328
ImageIO
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Dampak: Menampilkan file TIFF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbirer
Deskripsi: Kelebihan buffer terjadi saat libtiff menangani gambar TIFF yang dikodekan ThunderScan. Masalah ini telah diatasi dengan memperbarui libtiff ke versi 3.9.5.
CVE-ID
CVE-2011-1167
Kernel
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Saat FileVault digunakan, disknya dapat memuat data pengguna yang tidak dienkripsi
Deskripsi: Saat kernel menangani image tidur yang digunakan untuk hibernasi, beberapa data yang tidak dienkripsi di disk tertinggal, meskipun FileVault diaktifkan. Masalah ini telah diatasi melalui peningkatan penanganan image tidur, dan dengan menimpa image tidur yang ada saat memperbarui ke OS X v10.7.4. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.
CVE-ID
CVE-2011-3212 : Felix Groebert dari Tim Keamanan Google
libarchive
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Mengekstrak arsip perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Dampak: Beberapa kelebihan buffer muncul saat menangani arsip tar dan file iso9660.
CVE-ID
CVE-2011-1777
CVE-2011-1778
libsecurity
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Memverifikasi sertifikat X.509 perusak yang berbahaya, seperti saat mengunjungi situs web perusak yang berbahaya, dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah akses memori yang tidak diinisialisasi muncul saat menangani sertifikat X.509.
CVE-ID
CVE-2012-0654 : Dirk-Willem van Gulik dari WebWeaving.org, Guilherme Prado dari Conselho da Justiça Federal, Ryan Sleevi dari Google
libsecurity
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Dukungan untuk sertifikat X.509 dengan kunci RSA yang panjangnya tidak aman dapat mengekspos pengguna pada penipuan dan pengungkapan informasi
Deskripsi: Sertifikat yang ditandatangani menggunakan kunci RSA yang panjangnya tidak aman telah diterima libsecurity. Masalah ini telah diatasi dengan menolak sertifikat yang memuat kunci RSA kurang dari 1.024 bit.
CVE-ID
CVE-2012-0655
libxml
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Menampilkan halaman web perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa kerentanan muncul di libxml, yang paling serius yang dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini telah diatasi dengan menerapkan perbaikan upstream yang relevan.
CVE-ID
CVE-2011-1944 : Chris Evans dari Tim Keamanan Google Chrome
CVE-2011-2821 : Yang Dingning dari NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-2834 : Yang Dingning dari NCNIPC, Graduate University of Chinese Academy of Sciences
CVE-2011-3919 : Jüri Aedla
LoginUIFramework
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Jika pengguna Guest (Tamu) aktif, pengguna yang dapat mengakses komputer mungkin dapat masuk ke pengguna selain pengguna Guest (Tamu) tanpa memasukkan kata sandi
Deskripsi: Kondisi pacu muncul saat menangani pengguna yang masuk sebagai Guest (Tamu). Masalah ini tidak memengaruhi sistem sebelum OS X Lion.
CVE-ID
CVE-2012-0656 : Francisco Gómez (espectalll123)
PHP
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Beberapa kerentanan di PHP
Deskripsi: PHP diperbarui ke versi 5.3.10 untuk mengatasi beberapa kerentanan, yang paling serius yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net
CVE-ID
CVE-2011-4566
CVE-2011-4885
CVE-2012-0830
Quartz Composer
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Pengguna yang dapat mengakses komputer mungkin dapat mengakibatkan Safari terbuka jika layar dikunci dan penghemat layar RSS Visualizer digunakan
Deskripsi: Masalah kontrol akses muncul saat Quartz Composer menangani penghemat layar. Masalah ini telah diatasi melalui peningkatan pemeriksaan apakah layar dikunci atau tidak.
CVE-ID
CVE-2012-0657 : Aaron Sigel dari vtty.com
QuickTime
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Menampilkan file film perusak yang berbahaya selama pengunduhan terus-menerus dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer muncul saat menangani tabel sampel audio.
CVE-ID
CVE-2012-0658 : Luigi Auriemma bekerja sama dengan Zero Day Initiative dari HP
QuickTime
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Menampilkan file MPEG perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat muncul saat menangani file MPEG.
CVE-ID
CVE-2012-0659 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari HP
QuickTime
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Menampilkan file MPEG perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kekurangan buffer muncul saat menangani file MPEG.
CVE-ID
CVE-2012-0660 : Justin Kim di Microsoft dan Microsoft Vulnerability Research
QuickTime
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah bebas muncul saat menangani file film JPEG2000 yang dikodekan. Masalah ini tidak memengaruhi sistem sebelum OS X Lion.
CVE-ID
CVE-2012-0661 : Damian Put bekerja sama dengan Zero Day Initiative dari HP
Ruby
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Beberapa kerentanan di Ruby
Deskripsi: Ruby diperbarui ke 1.8.7-p357 untuk mengatasi beberapa kerentanan.
CVE-ID
CVE-2011-1004
CVE-2011-1005
CVE-2011-4815
Samba
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8
Dampak: Jika berbagi file SMB aktif, penyerang dari jarak jauh yang tidak diautentikasi dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa kelebihan buffer muncul saat Samba menangani panggilan prosedur dari jarak jauh. Dengan mengirim paket perusak yang berbahaya, penyerang dari jarak jauh yang tidak diautentikasi dapat mengakibatkan penolakan layanan atau eksekusi kode arbitrer dengan hak istimewa sistem. Masalah-masalah ini tidak memengaruhi sistem OS X Lion.
CVE-ID
CVE-2012-0870 : Andy Davis dari NGS Secure
CVE-2012-1182 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari HP
Security Framework
Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Penyerang dari jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat muncul di kerangka Security. Memperoses input tidak tepercaya dengan kerangka Security dapat mengakibatkan kerusakan memori. Masalah ini tidak memengaruhi proses 32-bit.
CVE-ID
CVE-2012-0662 : aazubel bekerja sama dengan Zero Day Initiative dari HP
Time Machine
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Penyerang dari jarak jauh dapat mengakses informasi pengesahan cadangan Time Machine pengguna
Deskripsi: Pengguna dapat menentukan Time Capsule atau volume AFP dari jarak jauh yang terpasang pada Pemancar AirPort agar digunakan untuk cadangan Time Machine. Dimulai dengan Pembaruan Firmware 7.6 untuk Pemancar AirPort dan Time Capsule, Time Capsule dan Pemancar mendukung mekanisme pengesahan berbasis SRP yang aman melalui AFP. Namun, Time Machine tidak mengharuskan mekanisme pengesahan berbasis SRP digunakan untuk operasi pencadangan berikutnya, meskipun Time Machine awalnya dikonfigurasi atau pernah berhubungan dengan Time Capsule atau Pemancar yang mendukungnya. Penyerang yang dapat menipu volume dari jarak jauh dapat memperoleh akses ke informasi pengesahan Time Capsule pengguna, meskipun bukan data cadangan, yang dikirim sistem pengguna. Masalah ini telah diatasi dengan mengharuskan penggunaan mekanisme pengesahan berbasis SRP jika tujuan pencadangan pernah mendukungnya.
CVE-ID
CVE-2012-0675 : Renaud Deraison dari Tenable Network Security, Inc.
X11
Tersedia untuk: OS X Lion v10.7 hingga v10.7.3, OS X Lion Server v10.7 hingga v10.7.3
Dampak: Aplikasi yang menggunakan libXfont untuk memproses data LZW yang dikompres mungkin rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan buffer muncul saat libXfont menangani data LZW yang dikompres. Masalah ini telah diatasi dengan memperbarui libXfont ke versi 1.4.4.
CVE-ID
CVE-2011-2895 : Tomas Hoger dari Red Hat
Catatan: Selain itu, pembaruan ini menyaring variabel lingkungan penaut dinamis dari daftar properti lingkungan khusus di direktori utama pengguna, jika ada.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.