Mengenai konten keamanan OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002

Dokumen ini menjelaskan konten keamanan OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002, yang dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak, atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple".

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
 

OS X Mountain Lion v10.8.4 dan Pembaruan Keamanan 2013-002

Catatan: OS X Mountain Lion v10.8.4 meliputi juga konten Safari 6.0.5. Untuk mengetahui detail lebih lanjut, baca Mengenai konten keamanan Safari 6.0.5.

  • CFNetwork

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Penyerang yang memiliki akses ke sesi pengguna mungkin dapat masuk ke situs yang diakses sebelumnya, meskipun menggunakan Penelusuran Pribadi

    Deskripsi: Cookie permanen disimpan setelah keluar dari Safari, meskipun Private Browsing (Penelusuran Pribadi) diaktifkan. Masalah ini telah diatasi dengan penanganan cookie yang lebih baik.

    CVE-ID

    CVE-2013-0982 : Alexander Traud dari www.traud.de

  • CoreAnimation

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah alokasi tumpukan tak terbatas terjadi saat menangani glyph teks. Hal ini dapat dipicu oleh URL perusak yang berbahaya di Safari. Masalah tersebut telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0983 : David Fifield dari Stanford University, Ben Syverson

  • Pemutaran CoreMedia

    Tersedia untuk: OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah akses memori yang tidak diinisialisasi terjadi saat menangani pelacakan teks. Masalah ini telah diatasi dengan validasi tambahan pelacakan teks.

    CVE-ID

    CVE-2013-1024 : Richard Kuo dan Billy Suguitan dari Triemt Corporation

  • CUPS

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Pengguna lokal dalam grup lpadmin mungkin dapat membaca atau menulis file arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah eskalasi hak istimewa terjadi saat menangani konfigurasi CUPS melalui antarmuka web CUPS. Pengguna lokal dalam grup lpadmin mungkin dapat membaca atau menulis file arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi dengan memindahkan konfigurasi tertentu langsung ke cups-files.conf, yang tidak dapat diubah dari antarmuka web CUPS.

    CVE-ID

    CVE-2012-5519

  • Directory Service (Layanan Direktori)

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dampak: Penyerang jarak jauh dapat mengeksekusi kode arbitrer dengan hak istimewa sistem di sistem yang mengaktifkan Directory Service (Direktori Layanan)

    Deskripsi: Masalah terjadi saat server direktori menangani pesan dari jaringan. Dengan mengirimkan pesan perusak yang berbahaya, penyerang jarak jauh dapat mengakibatkan server direktori berhenti atau mengeksekusi kode arbitrer dengan hak istimewa sistem. Masalah ini telah diatasi dengan pemeriksaan batas-batas yang lebih baik. Masalah ini tidak memengaruhi sistem OS X Lion atau OS X Mountain Lion.

    CVE-ID

    CVE-2013-0984 : Nicolas Economou dari Core Security

  • Disk Management (Manajemen Disk)

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Pengguna lokal dapat menonaktifkan FileVault

    Deskripsi: Pengguna lokal yang bukan administrator dapat menonaktifkan FileVault menggunakan baris perintah. Masalah ini telah diatasi dengan menambahkan pengesahan tambahan.

    CVE-ID

    CVE-2013-0985

  • OpenSSL

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan TLS 1.0 ketika kompresi diaktifkan. Masalah ini telah diatasi dengan menonaktifkan kompresi di OpenSSL.

    CVE-ID

    CVE-2012-4929 : Juliano Rizzo dan Thai Duong

  • OpenSSL

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Beberapa kerentanan di OpenSSL

    Deskripsi: OpenSSL telah diperbarui ke versi 0.9.8x untuk mengatasi beberapa kerentanan, sehingga mengakibatkan penolakan layanan atau pengungkapan kunci pribadi. Informasi lebih lanjut tersedia melalui situs web OpenSSL di http://www.openssl.org/news/

    CVE-ID

    CVE-2011-1945

    CVE-2011-3207

    CVE-2011-3210

    CVE-2011-4108

    CVE-2011-4109

    CVE-2011-4576

    CVE-2011-4577

    CVE-2011-4619

    CVE-2012-0050

    CVE-2012-2110

    CVE-2012-2131

    CVE-2012-2333

  • QuickDraw Manager (Pengelola QuickDraw)

    Tersedia untuk: OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.2

    Dampak: Membuka PICT perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Aliran buffer terjadi saat menangani gambar PICT. Masalah ini telah diatasi dengan pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0975 : Tobias Klein bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani atom 'enof'. Masalah ini telah diatasi dengan pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0986 : Tom Gallagher (Microsoft) & Paul Bates (Microsoft) bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Menampilkan file QTIF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani file QTIF. Masalah ini telah diatasi dengan pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0987 : roob bekerja sama dengan iDefense VCP

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Menampilkan file FPX perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file FPX. Masalah ini telah diatasi dengan pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0988 : G. Geshev bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Memutar file MP3 perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file MP3. Masalah ini telah diatasi dengan pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-0989 : G. Geshev bekerja sama dengan Zero Day Initiative HP

  • Ruby

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8

    Dampak: Beberapa kerentanan di Ruby on Rails

    Deskripsi: Beberapa kerentanan terjadi di Ruby on Rails, yang paling serius dapat mengakibatkan eksekusi kode arbitrer di sistem yang menjalankan aplikasi Ruby on Rails. Masalah ini telah diatasi dengan memperbarui Ruby on Rails ke versi 2.3.18. Masalah ini dapat memengaruhi sistem OS X Lion atau OS X Mountain Lion yang ditingkatkan versi dari Mac OS X 10.6.8 atau versi lebih lama. Pengguna dapat memperbarui gem yang terpengaruh di sistem tersebut dengan menggunakan utilitas /usr/bin/gem.

    CVE-ID

    CVE-2013-0155

    CVE-2013-0276

    CVE-2013-0277

    CVE-2013-0333

    CVE-2013-1854

    CVE-2013-1855

    CVE-2013-1856

    CVE-2013-1857

  • SMB

    Tersedia untuk: OS X Lion v10.7 sampai v10.7.5, OS X Lion Server v10.7 sampai v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.3

    Dampak: Pengguna yang sah mungkin dapat membaca atau menulis file di luar direktori bersama

    Deskripsi: Jika berbagi file SMB diaktifkan, pengguna yang sah mungkin dapat membaca atau menulis file di luar direktori bersama. Masalah ini telah diatasi melalui kontrol akses yang lebih baik.

    CVE-ID

    CVE-2013-0990 : Ward van Wanrooij

  • Catatan: Dimulai dengan OS X v10.8.4, aplikasi Java Web Start (i.e. JNLP) yang diunduh dari Internet harus ditandatangani dengan sertifikat ID Pengembang. Gatekeeper akan memeriksa tanda tangan di aplikasi Java Web Start yang diunduh dan memblokir aplikasi tersebut agar tidak diluncurkan jika tidak ditandatangani dengan benar.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: