Mengenai konten keamanan OS X Mountain Lion v10.8.5 dan Pembaruan Keamanan 2013-004

Dokumen ini menjelaskan konten keamanan OS X Mountain Lion v10.8.5 dan Pembaruan Keamanan 2013-004.

Pembaruan ini dapat diunduh dan diinstal melalui preferensi Pembaruan Perangkat Lunak atau dari Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.

OS X Mountain Lion v10.8.5 dan Pembaruan Keamanan 2013-004

  • Apache

    Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Beberapa kerentanan di Apache

    Deskripsi: Terdapat beberapa kerentanan di Apache, di antaranya yang paling serius dapat menyebabkan serangan skrip lintas situs. Masalah ini telah diatasi dengan memperbarui Apache ke versi 2.2.24.

    CVE-ID

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Beberapa kerentanan di BIND

    Deskripsi: Terdapat beberapa kerentanan di BIND, di antaranya yang paling serius dapat menyebabkan penolakan layanan. Masalah ini telah diatasi dengan memperbarui BIND ke versi 9.8.5-P1. CVE-2012-5688 tidak memengaruhi sistem Mac OS X v10.7.

    CVE-ID

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Certificate Trust Policy

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Sertifikat root telah diperbarui

    Deskripsi: Beberapa sertifikat ditambahkan ke atau dihapus dari daftar root sistem. Daftar lengkap root sistem yang dikenali dapat dilihat melalui aplikasi Akses Rantai Kunci.

  • ClamAV

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

    Dampak: Beberapa kerentanan di ClamAV

    Deskripsi: Terdapat beberapa kerentanan di ClamAV, di antaranya yang paling serius dapat menyebabkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan memperbarui ClamAV ke versi 0.97.8.

    CVE-ID

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Menampilkan file PDF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer saat menangani data yang dikodekan dengan JBIG2 dalam file PDF. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.

    CVE-ID

    CVE-2013-1025: Felix Groebert dari Tim Keamanan Google

  • ImageIO

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Menampilkan file PDF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat kelebihan buffer saat menangani data yang dikodekan dengan JPEG2000 dalam file PDF. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.

    CVE-ID

    CVE-2013-1026: Felix Groebert dari Tim Keamanan Google

  • Installer

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Paket dapat dibuka setelah pembatalan sertifikat

    Deskripsi: Saat menemukan sertifikat yang dibatalkan, Installer akan menampilkan dialog dengan pilihan untuk melanjutkan. Masalah ini telah diatasi dengan menghapus dialog dan menolak paket yang dibatalkan.

    CVE-ID

    CVE-2013-1027

  • IPSec

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Penyerang dapat mencegat data yang dilindungi dengan IPSec Hybrid Auth

    Deskripsi: Nama DNS server IPSec Hybrid Auth tidak dicocokkan dengan sertifikat, sehingga memungkinkan penyerang yang memiliki sertifikat untuk suatu server meniru yang lain. Masalah ini telah diatasi dengan pemeriksaan sertifikat yang lebih baik.

    CVE-ID

    CVE-2013-1028: Alexander Traud dari www.traud.de

  • Kernel

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Pengguna jaringan lokal dapat menyebabkan penolakan layanan

    Deskripsi: Pemeriksaan yang salah dalam kode penguraian paket IGMP di kernel memungkinkan pengguna yang dapat mengirim paket IGMP ke sistem menyebabkan panik kernel. Masalah ini telah diatasi dengan menghapus pemeriksaan tersebut.

    CVE-ID

    CVE-2013-1029: Christopher Bohn dari PROTECTSTAR INC.

  • Mobile Device Management

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Kata sandi dapat diungkapkan ke pengguna lokal lain

    Deskripsi: Kata sandi pada baris perintah dikirimkan ke mdmclient, sehingga dapat dilihat oleh pengguna lain di sistem yang sama. Masalah ini telah diatasi dengan mengomunikasikan kata sandi melalui pipa.

    CVE-ID

    CVE-2013-1030: Per Olofsson di University of Gothenburg

  • OpenSSL

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Beberapa kerentanan di OpenSSL

    Deskripsi: Terdapat beberapa kerentanan di OpenSSL, di antaranya yang paling serius dapat menyebabkan pengungkapan data pengguna. Masalah ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8y.

    CVE-ID

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Beberapa kerentanan di PHP

    Deskripsi: Terdapat beberapa kerentanan di PHP, di antaranya yang paling serius dapat menyebabkan eksekusi kode arbitrer. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.3.26.

    CVE-ID

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Beberapa kerentanan di PostgreSQL

    Deskripsi: Terdapat beberapa kerentanan di PostgreSQL, di antaranya yang paling serius dapat menyebabkan kerusakan data atau eskalasi hak istimewa. CVE-2013-1901 tidak memengaruhi sistem OS X Lion. Pembaruan ini mengatasi masalah tersebut dengan memperbarui PostgreSQL ke versi 9.1.9 di sistem OS X Mountain Lion, dan 9.0.4 di sistem OS X Lion.

    CVE-ID

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Power Management

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Penghemat layar mungkin tidak dapat dimulai setelah jangka waktu tertentu

    Deskripsi: Terdapat masalah kunci penerapan daya. Masalah ini telah diatasi melalui penanganan penguncian yang ditingkatkan.

    CVE-ID

    CVE-2013-1031

  • QuickTime

    Tersedia untuk: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Menampilkan file film perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Terdapat masalah kerusakan memori dalam penanganan atom ‘idsc’ pada file film QuickTime. Masalah ini telah diatasi melalui pemeriksaan batas tambahan.

    CVE-ID

    CVE-2013-1032: Jason Kratzer yang bekerja sama dengan iDefense VCP

  • Screen Lock

    Tersedia untuk: OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Pengguna dengan akses berbagi layar mungkin dapat memintas kunci layar saat pengguna lain masuk

    Deskripsi: Terdapat masalah pengelolaan sesi saat kunci layar menangani sesi berbagi layar. Masalah ini telah diatasi melalui pelacakan sesi yang lebih baik.

    CVE-ID

    CVE-2013-1033: Jeff Grisso dari Atos IT Solutions, Sébastien Stormacq

  • sudo

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 sampai v10.8.4

    Dampak: Penyerang dengan kontrol akun pengguna admin mungkin dapat memperoleh hak istimewa root tanpa mengetahui kata sandi pengguna

    Deskripsi: Dengan mengatur jam sistem, penyerang mungkin dapat menggunakan sudo untuk memperoleh hak istimewa root pada sistem yang pernah menggunakan sudo. Di OS X, hanya pengguna admin yang dapat mengubah jam sistem. Masalah ini telah diatasi dengan memeriksa tanda waktu yang tidak valid.

    CVE-ID

    CVE-2013-1775

  • Catatan: OS X Mountain Lion v10.8.5 juga mengatasi masalah terkait string Unicode tertentu yang dapat menyebabkan aplikasi tiba-tiba tertutup.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: