Mengenai konten keamanan OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 dan Pembaruan Keamanan 2012-004

Pelajari mengenai konten keamanan OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 dan Pembaruan Keamanan 2012-004.

Dokumen ini menjelaskan konten keamanan dari OS X Mountain Lion v10.8.2, OS X Lion v10.7.5, dan Pembaruan Keamanan 2012-004.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 dan Pembaruan Keamanan 2012-004

Perhatikan: OS X Mountain Lion v10.8.2 menyertakan konten Safari 6.0.1. Untuk detail lebih lanjut lihat Tentang konten keamanan Safari 6.0.1.

  • Apache

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Beberapa kerentanan dalam Apache

    Deskripsi: Apache diperbarui ke versi 2.2.22 untuk mengatasi berbagai kerentanan, yang paling berat dapat mengakibatkan penolakan layanan. Informasi lebih lanjut tersedia melalui situs web Apache di http://httpd.apache.org/. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Penyerang dari jauh mungkin dapat menyebabkan penolakan layanan dalam sistem yang dikonfigurasikan untuk menjalankan BIND sebagai nama server DNS

    Deskripsi: Masalah pernyataan yang dapat dijangkau terjadi dalam penanganan data DNS. Masalah ini diatasi dengan memperbarui ke BIND 9.7.6-P1. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2011-4313

  • BIND

    Tersedia untuk: OS X Lion v10.7 pada v10.7.4, OS X Lion Server v10.7 pada v10.7.4, OS X Mountain Lion v10.8 dan v10.8.1

    Dampak: Penyerang dari jauh mungkin dapat menyebabkan penolakan layanan, kerusakan data, atau perolehan informasi sensitif dari memori pemrosesan dalam sistem yang dikonfigurasikan untuk menjalankan BIND sebagai nama server DNS

    Deskripsi: Masalah pengelolaan memori terjadi dalam penanganan data DNS. Masalah ini diatasi dengan memperbarui ke BIND 9.7.6-P1 pada sistem OS X Lion dan BIND 9.8.3-P1 pada sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-1667

  • CoreText

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Aplikasi yang menggunakan CoreText dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah pemeriksaan batas yang terjadi dalam penanganan glyphs teks, yang dapat mengakibatkan terlampauinya memori baca atau tulis. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6 atau sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-3716 : Jesse Ruderman dari Mozilla Corporation

  • Keamanan Data

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4, OS X Mountain Lion v10.8 dan v10.8.1

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

    Deskripsi: TrustWave, sumber CA yang tepercaya, telah mengeluarkan dan kemudian mencabut sertifikat sub-CA dari salah satu jangkar tepercaya. Sub-CA ini memfasilitasi cegatan komunikasi yang dilindungi oleh Transport Layer Security (TLS). Pembaruan ini menambahkan sertifikat sub-CA yang disertakan ke daftar sertifikat OS X yang tidak tepercaya.

  • DirectoryService

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8

    Dampak: Jika Proksi DirectoryService digunakan, penyerang dari jauh dapat menyebabkan penolakan layanan atau eksekusi kode arbitrer

    Deskripsi: Aliran buffer terjadi di Proksi DirectoryService. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Lion dan sistem Mountain Lion.

    CVE-ID

    CVE-2012-0650 : aazubel bekerja sama dengan Zero Day Initiative HP

  • ImageIO

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan gambar PNG yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer

    Deskripsi: Beberapa masalah kerusakan memori yang terjadi dalam penanganan libpng gambar PNG. Masalah ini diatasi melalui validasi gambar PNG yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2011-3026 : Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan gambar TIFF yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer

    Deskripsi: Masalah aliran bilangan bulat terjadi dalam penanganan libTIFF dari gambar TIFF. Masalah ini diatasi melalui validasi gambar TIFF yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-1173 : Alexander Gavrun bekerja sama dengan Zero Day Initiative HP

  • Penginstal

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Admin Remote dan orang dengan akses fisik ke sistem dapat memperoleh informasi akun

    Deskripsi: Perbaikan untuk CVE-2012-0652 di OS X Lion 10.7.4 mencegah sandi pengguna agar tidak dicatat dalam log sistem, namun tidak menghapus entri log yang lama. Masalah ini diatasi dengan menghapus file log yang berisi sandi. Masalah ini tidak memengaruhi sistem Mac OS X 10.6 atau sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-0652

  • Komponen Internasional untuk Unicode

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Aplikasi yang menggunakan ICU dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kumpulan aliran buffer terjadi dalam penangan ID lokal ICU. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2011-4599

  • Kernel

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Program berbahaya dapat melewatkan pembatasan kotak pasir

    Deskripsi: Masalah log terjadi dalam penanganan panggilan sistem debug. Hal ini dapat memungkinkan program berbahaya untuk memperoleh eksekusi kode di program lain dengan hak istimewa pengguna yang sama. Masalah ini diatasi dengan menonaktifkan penanganan alamat di PT_STEP dan PT_CONTINUE. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-0643 : iOS Jailbreak Dream Team

  • LoginWindow

    Tersedia untuk: OS X Mountain Lion v10.8 dan v10.8.1

    Dampak: Pengguna lokal mungkin dapat memperoleh kata sandi login pengguna lain

    Deskripsi: Metode masukan yang dipasang pengguna dapat mengganggu penekanan sandi dari Login Window atau Screen Saver Unlock. Masalah ini diatasi dengan mencegah metode yang dipasang pengguna agar tidak digunakan ketika sistem menangani informasi login.

    CVE-ID

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan pesan email dapat mengakibatkan pada eksekusi plugin web

    Deskripsi: Kesalahan validasi masukan terjadi dalam penanganan Mail dari plugin web yang disematkan. Masalah ini diatasi dengan menonaktifkan plugin pihak ketiga dalam Mail. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-3719 : Will Dormann dari CERT/CC

  • Akun Seluler

    Tersedia untuk: OS X Mountain Lion v10.8 dan v10.8.1

    Dampak: Pengguna dengan akses ke konten akun seluler dapat memperoleh kata sandi akun

    Deskripsi: Membuat akun seluler menyimpan ciri sandi di akun, yang digunakan untuk masuk ketika akun seluler digunakan sebagai akun eksternal. Ciri kata sandi dapat digunakan untuk menentukan sandi pengguna. Masalah ini diatasi dengan membuat ciri kata sandi hanya jika akun eksternal diaktifkan pada sistem tempat akun seluler dibuat.

    CVE-ID

    CVE-2012-3720 : Harald Wagener dari Google, Inc.

  • PHP

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4, OS X Mountain Lion v10.8 dan v10.8.1

    Dampak: Beberapa kerentanan dalam PHP

    Deskripsi: >PHP diperbarui ke versi 5.3.15 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net

    CVE-ID

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Skrip PHP yang menggunakan Libpng dapat menjadi rentan terhadap penghentian aplikasi yang tak terduga atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi dalam penanganan file PNG. Masalah ini diatasi dengan memperbarui salinan libpng PHP ke versi 1.5.10. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2011-3048

  • Pengelola Profil

    Tersedia untuk: OS X Lion Server v10.7 pada v10.7.4

    Dampak: Pengguna yang tidak disahkan dapat menghitung perangkat yang terkelola

    Deskripsi: Masalah pengesahan terjadi di antarmuka pribadi Pengelolaan Perangkat. Masalah ini diatasi dengan menghapus antarmuka.

    Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-3721 : Derick Cassidy dari XEquals Corporation

  • QuickLook

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan file .pict yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi dalam penanganan file .pict. Masalah ini diatasi melalui validasi file .pict yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-0671 : Rodrigo Rubira Branco (twitter.com/bsdaemon) dari Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Aliran bilangan bulat terjadi dalam penanganan QuickTime dari atom sean. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-0670 : Tom Gallagher (Microsoft) dan Paul Bates (Microsoft) bekerja dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Akses memori yang tidak diinisialisasi terjadi dalam penanganan file film yang dikodekan Sorenson. Masalah ini diatasi melalui inisialisasi memori yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-3722 : Will Dormann dari CERT/CC

  • QuickTime

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan aliran buffer terjadi dalam penanganan dari file film yang dikodekan RLE. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-0668 : Luigi Auriemma bekerja dengan Zero Day Initiative HP

  • Ruby

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Modul Ruby OpenSSL menonaktifkan tindakan balasan 'fragmen kosong' yang mencegah serangan tersebut. Masalah ini diatasi dengan mengaktifkan fragmen kosong. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2011-3389

  • USB

    Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4

    Dampak: Melampirkan perangkat USB dapat mengakibatkan penghentian sistem tak terduga atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi dalam penanganan deskriptor konektor USB. Masalah ini diatasi melalui penanganan bidang deskriptor bNbrPorts yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.

    CVE-ID

    CVE-2012-3723 : Andy Davis pada NGS Secure

 

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: