Mengenai konten keamanan OS X Mavericks v10.9
Dokumen ini menjelaskan konten keamanan OS X Mavericks v10.9.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.
OS X Mavericks v10.9
Firewall Aplikasi
Dampak: blockApp socketfilterfw tidak dapat memblokir aplikasi untuk menerima koneksi jaringan
Deskripsi: Pilihan blockApp dari alat baris perintah socketfilterfw tidak memblokir dengan benar aplikasi untuk menerima koneksi jaringan. Masalah ini telah ditangani melalui penanganan yang lebih baik terhadap pilihan blockApp.
CVE-ID
CVE-2013-5165 : Alexander Frangis dari PopCap Games
Sandbox App
Dampak: Sandbox App mungkin dilintas
Deskripsi: Antarmuka LaunchServices yang digunakan untuk membuka app memperbolehkan app sandbox untuk menentukan daftar argumen yang diberikan ke proses baru. Aplikasi berbahaya yang terkena sandbox dapat menyalahgunakan hal ini untuk memintas sandbox. Masalah ini telah ditangani dengan tidak memperbolehkan aplikasi yang terkena sandbox untuk menentukan argumen.
CVE-ID
CVE-2013-5179 : Friedrich Graeter dari The Soulmen GbR
Bluetooth
Dampak: Aplikasi lokal berbahaya dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Pengendali penyedia USB Bluetooth menghapus antarmuka yang diperlukan untuk operasi mendatang. Masalah ini telah ditangani dengan mempertahankan antarmuka hingga benar-benar tidak diperlukan.
CVE-ID
CVE-2013-5166 : Stefano Bianchi Mazzone, Mattia Pagnozzi, dan Aristide Fattori dari Computer and Network Security Lab (LaSER), Università degli Studi di Milano
CFNetwork
Dampak: Cookie sesi akan tetap ada walaupun sudah mengatur ulang Safari
Deskripsi: Mengatur ulang Safari tidak selalu menghapus cookie sesi hingga Safari ditutup. Masalah ini telah diatasi melalui penanganan cookie sesi yang lebih baik.
CVE-ID
CVE-2013-5167 : Graham Bennett, Rob Ansaldo dari Amherst College
CFNetwork SSL
Dampak: Penyerang dapat mendekripsi bagian dari koneksi SSL
Deskripsi: Hanya SSL versi SSLv3 dan TLS 1.0 yang digunakan. Versi tersebut dapat menjadi kelemahan protokol ketika menggunakan kode blokir. Pelaku serangan MITM (man-in-the-middle-attacker) kemungkinan telah memasukkan data yang tidak valid, sehingga koneksi tertutup tetapi mengungkapkan beberapa informasi dari data sebelumnya. Jika koneksi yang sama dicoba berkali-kali, penyerang mungkin dapat mendekripsi data yang dikirim, seperti kata sandi. Masalah ini telah diatasi dengan mengaktifkan TLS 1.2.
CVE-ID
CVE-2011-3389
Konsol
Dampak: Mengeklik entri log berbahaya dapat mengakibatkan aplikasi tiba-tiba dijalankan
Deskripsi: Pembaruan ini memodifikasi respons Konsol saat mengeklik entri catatan dengan URL yang melekat. Daripada membuka URL, Konsol kini akan meninjau URL tersebut dengan Lihat Cepat.
CVE-ID
CVE-2013-5168 : Aaron Sigel dari vtty.com
CoreGraphics
Dampak: Jendela mungkin terlihat di layar terkunci setelah layar tidur
Deskripsi: Masalah logika muncul saat CoreGraphic menangani mode layar tidur, sehingga mengakibatkan kerusakan data yang menyebabkan jendela terlihat di layar terkunci. Masalah ini telah ditangani melalui penanganan layar tidur yang lebih baik.
CVE-ID
CVE-2013-5169
CoreGraphics
Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kekurangan buffer muncul saat menangani file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2013-5170 : Will Dormann dari CERT/CC
CoreGraphics
Dampak: Aplikasi tanpa hak istimewa mungkin dapat mencatat ketukan tombol yang dimasukkan ke dalam aplikasi lain bahkan ketika mode input aman diaktifkan
Deskripsi: Dengan mendaftar kejadian tombol cepat, aplikasi tanpa hak istimewa dapat mencatat ketukan tombol yang dimasukkan ke dalam aplikasi lain bahkan ketika mode input aman diaktifkan. Masalah ini telah diatasi melalui validasi tambahan kejadian tombol cepat.
CVE-ID
CVE-2013-5171
curl
Dampak: Beberapa kerentanan di curl
Deskripsi: Beberapa kerentanan muncul di curl, yang paling serius yang mengakibatkan eksekusi kode arbitrer. Masalah-masalah ini telah diatasi dengan memperbarui curl ke versi 7.30.0
CVE-ID
CVE-2013-0249
CVE-2013-1944
dyld
Dampak: Penyerang yang telah mengeksekusi kode arbriter pada perangkat dapat terus mengeksekusi kode di setiap boot-ulang
Deskripsi: Beberapa kelebihan buffer muncul di fungsi openSharedCacheFile() dyld. Masalah tersebut telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-ID
CVE-2013-3950 : Stefan Esser
IOKitUser
Dampak: Aplikasi lokal berbahaya dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Dereferensi penunjuk null muncul pada IOCatalogue. Masalah ini telah diatasi melalui pemeriksaan jenis tambahan.
CVE-ID
CVE-2013-5138 : Will Estes
IOSerialFamily
Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel
Deskripsi: Akses larik di luar batas muncul di driver IOSerialFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2013-5139 : @dent1zt
Kernel
Dampak: Menggunakan fungsi digest SHA-2 di kernel dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Panjang output yang tidak benar digunakan untuk keluarga SHA-2 dari fungsi digest, menyebabkan kepanikan kernel ketika fungsi ini digunakan, biasanya terjadi selama koneksi IPSec. Masalah ini telah diatasi melalui penggunaan panjang output yang sesuai.
CVE-ID
CVE-2013-5172 : Christoph Nadig dari Lobotomo Software
Kernel
Dampak: Memori tumpukan kernel dapat diungkapkan kepada pengguna lokal
Deskripsi: Masalah pengungkapan informasi muncul di API msgctl dan segctl. Masalah ini telah diatasi dengan menginisialisasi struktur data yang dihasilkan dari kernel.
CVE-ID
CVE-2013-5142 : Kenzley Alphonse dari Kenx Technology, Inc
Kernel
Dampak: Pengguna jaringan lokal dapat mengakibatkan penolakan layanan
Deskripsi: Penghasil nomor acak kernel akan terkunci ketika memenuhi permintaan dari ruang pengguna, membolehkan pengguna jaringan lokal meminta pemintaan yang besar dan terkunci cukup lama, menolak layanan ke pengguna lain dari penghasil nomor acak tersebut. Masalah ini telah diatasi dengan melepas dan mengambil kembali kunci untuk permintaan besar dengan lebih sering.
CVE-ID
CVE-2013-5173 : Jaakko Pero dari Aalto University
Kernel
Dampak: Pengguna lokal tanpa hak istimewa dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Masalah tanda bilangan bulat muncul dalam penanganan pembacaan tty. Masalah ini telah diatasi melalui penanganan dalam pembacaan tty yang lebih baik.
CVE-ID
CVE-2013-5174 : CESG
Kernel
Dampak: Pengguna lokal mungkin dapat mengakibatkan pengungkapan informasi memori kernel atau penghentian sistem secara tiba-tiba
Deskripsi: Masalah pembacaan di luar batas muncul saat menangani file Mach-O. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2013-5175
Kernel
Dampak: Pengguna lokal mungkin dapat menyebabkan sistem lumpuh.
Deskripsi: Masalah pemotongan bilangan bulat muncul saat penanganan perangkat tty. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2013-5176 : CESG
Kernel
Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Kernel akan panik ketika struktur iovec tidak valid yang dimasukkan pengguna terdeteksi. Masalah ini telah diatasi melalui validasi struktur iovec yang lebih baik.
CVE-ID
CVE-2013-5177 : CESG
Kernel
Dampak: Proses tanpa hak istimewa dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer di kernel
Deskripsi: Masalah kerusakan memori muncul saat menangani argumen terhadap API posix_spawn. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2013-3954 : Stefan Esser
Kernel
Dampak: Program multicast sumber tertentu dapat mengakibatkan aplikasi berhenti tiba-tiba ketika menggunakan jaringan Wi-Fi
Deskripsi: Masalah pemeriksaan kesalahan muncul saat menangani paket multicast. Masalah ini telah diatasi melalui penanganan dalam paket multicast yang lebih baik.
CVE-ID
CVE-2013-5184 : Octoshape
Kernel
Dampak: Penyerang di jaringan lokal dapat menyebabkan penolakan layanan
Deskripsi: Penyerang di jaringan lokal dapat mengirim paket ICMP IPv6 perusak khusus dan menyebabkan muatan CPU yang tinggi. Masalah ini telah diatasi dengan membatasi nilai paket ICMP sebelum memverifikasi ceksumnya.
CVE-ID
CVE-2011-2391: Marc Heuse
Kernel
Dampak: Aplikasi lokal berbahaya dapat menyebabkan sistem lumpuh
Deskripsi: Masalah pemotongan bilangan bulat muncul di antarmuka soket kernel, yang dapat dimanfaatkan untuk memaksa CPU berputar tanpa henti. Masalah ini telah diatasi dengan menggunakan variabel berukuran lebih besar.
CVE-ID
CVE-2013-5141 : CESG
Manajemen Kext
Dampak: Proses tanpa otorisasi dapat menonaktifkan beberapa ekstensi kernel yang termuat
Deskripsi: Masalah muncul saat menangani manajemen kext ketika menangani pesan IPC dari pengirim yang tidak diautentikasi. Masalah ini telah diatasi dengan menambahkan pemeriksaan otorisasi tambahan.
CVE-ID
CVE-2013-5145 : "Rainbow PRISM"
LaunchServices
Dampak: File dapat menampilkan ekstensi yang salah.
Deskripsi: Masalah muncul saat menangani karakter unicode tertentu yang dapat membolehkan nama file untuk menampilkan ekstensi yang salah. Masalah ini telah diatasi dengan memfilter karakter unicode yang tidak aman agar tidak ditampilkan di nama file.
CVE-ID
CVE-2013-5178 : Jesse Ruderman dari Mozilla Corporation, Stephane Sudre dari Intego
Libc
Dampak: Di dalam suatu kondisi yang tidak biasa, beberapa nomor acak mungkin mudah diduga.
Deskripsi: Jika penghasil nomor acak kernel tidak dapat diakses ke srandomdev(), fungsi tersebut akan jatuh kembali ke metode alternatif yang telah dihapus oleh optimalisasi, mengarah pada kurangnya keacakan. Masalah ini telah diatasi dengan memodifikasi kode agar menjadi benar saat pengoptimalan.
CVE-ID
CVE-2013-5180 : Xi Wang
Akun Mail
Dampak: Mail tidak dapat memilih metode autentikasi paling aman yang tersedia.
Deskripsi: Ketika melakukan konfigurasi otomatis pada akun mail pada server mail tertentu, app Mail akan memilih autentikasi teks biasa melalui autentikasi CRAM-MD5. Masalah ini telah diatasi dengan penanganan logika yang lebih baik.
CVE-ID
CVE-2013-5181
Tampilan Header Mail
Dampak: Pesan yang tidak ditandai mungkin muncul sebagai yang sudah ditandai dengan valid.
Deskripsi: Masalah logika yang muncul saat Mail menangani pesan-pesan tidak bertanda yang juga berisi bagian multipart/signed . Masalah ini telah diatasi dengan peningkatan penanganan pesan yang belum ditandai.
CVE-ID
CVE-2013-5182 : Michael Roitzsch dari Technische Universität Dresden
Jaringan Mail
Dampak: Informasi mungkin dengan singkat ditransfer dalam teks sederhana ketika enkripsi non-TLS dikonfigurasi.
Deskripsi: Ketika autentikasi Kerberos diaktifkan dan Keamanan Lapisan Transport dinonaktifkan, Mail akan mengirim beberapa data yang tidak dienkripsi ke server mail, mengarah pada penghentian koneksi secara tiba-tiba. Masalah ini telah diatasi dengan penanganan konfigurasi yang lebih baik.
CVE-ID
CVE-2013-5183 : Richard E. Silverman dari www.qoxp.net
OpenLDAP
Dampak: Alat baris perintah Idapsearch tidak menganggap konfigurasi minssf
Deskripsi: Alat baris perintah Idapsearch tidak menganggap konfigurasi minssf, yang dapat mengarah pada enkripsi lemah diperbolehkan secara tidak terduga. Masalah ini telah ditangani melalui penanganan konfigurasi minssf yang lebih baik.
CVE-ID
CVE-2013-5185
perl
Dampak: Skrip Perl mungkin rentan untuk menolak layanan.
Deskripsi: Mekanisme rehash di versi Perl yang lama mungkin rentan untuk menolak layanan dalam skrip yang menggunakan input tidak tepercaya sebagai kunci hash. Masalah ini telah diatasi dengan memperbarui ke Perl 5.16.2.
CVE-ID
CVE-2013-1667
Manajemen Daya
Dampak: Kunci layar mungkin tidak akan dimulai setelah periode waktu tertentu
Deskripsi: Masalah penguncian muncul dalam manajemen pernyataan daya. Masalah ini telah diatasi dengan penanganan penguncian yang lebih baik.
CVE-ID
CVE-2013-5186 : David Herman di Sensible DB Design
python
Dampak: Beberapa kerentanan di phython 2.7
Deskripsi: Beberapa kerentanan muncul di phyton 2.7.2, yang paling berbahaya adalah yang mengarah ke dekripsi konten sambungan SSL. Pembaruan ini mengatasi masalah dengan memperbarui python ke versi 2.7.5. Informasi selengkapnya tersedia melalui situs python di http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
python
Dampak: Beberapa kerentanan pada phyton 2.6
Deskripsi: Beberapa kerentanan muncul di phyton 2.6.7, yang paling berbahaya adalah yang mengarah ke dekripsi konten sambungan SSL. Perbaruan ini mengatasi masalah dengan memperbarui phyton ke versi 2.6.8 dan menerapkan tambalan untuk CVE-2011-4944 dari proyek phyton. Informasi selengkapnya tersedia melalui situs phyton di http://www.python.org/download/releases/
CVE-ID
CVE-2011-3389
CVE-2011-4944
CVE-2012-0845
CVE-2012-0876
CVE-2012-1150
ruby
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya
Deskripsi: Masalah validasi nama host muncul saat menangani sertifikat SSL Ruby. Masalah ini telah diatasi dengan memperbarui Ruby ke versi 2.0.0p247.
CVE-ID
CVE-2013-4073
Keamanan
Dampak: Dukungan untuk sertifikat X.509 dengan campuran MD5 mungkin membawa pengguna untuk mengarah dan penyingkapan informasi seiring dengan bertambahnya serangan.
Deskripsi: Sertifikat yang ditandatangani menggunakan alogaritma campuran MD5 diterima oleh OS X. Alogaritma ini dikenal memiliki kelemahan kriptografi. Riset lebih jauh atau otoritas sertifikat yang dikonfigurasi dengan kurang tepat dapat membolehkan pembuatan sertifikat X.509 dengan nilai yang dikontrol oleh penyerang yang bisa saja dipercaya oleh sistem. Hal ini dapat mengekspos protokol X.509 untuk mengarah pada penyingkapan informasi oleh orang di balik serangan tersebut. Pembaruan ini menonaktifkan dukungan untuk sertifikat X.509 dengan campuran MD5 untuk penggunaan apa pun selain sertifikat akar yang tepercaya.
CVE-ID
CVE-2011-3427
Keamanan - Otorisasi
Dampak: Preferensi keamanan administrator mungkin tidak dianggap
Deskripsi: Pengaturan "Memerlukan kata sandi administrator untuk mengakses preferensi sistem dengan ikon kunci" membolehkan administrator untuk menambahkan lapisan perlindungan tambahan untuk pengaturan sistem yang sensitif. Dalam beberapa kasus ketika administrator mengaktifkan pengaturan ini, menerapkan pembaruan atau peningkatan perangkat lunak dapat mengakibatkan penonaktifan pengaturan tersebut. Masalah ini telah diatasi melalui penanganan terkait hak otorisasi yang lebih baik.
CVE-ID
CVE-2013-5189 : Greg Onufer
Keamanan - Layanan Smart Card
Dampak: Layanan Smart Card mungkin tidak tersedia ketika pemeriksaan pembatalan sertifikasi diaktifkan.
Deskripsi: "Masalah logika muncul saat menangani pemeriksaan pembatalan sertifikat Smart Card di OS X. Masalah ini telah ditangani melalui dukungan pembatalan sertifikat yang lebih baik.
CVE-ID
CVE-2013-5190 : Yongjun Jeon dari Centrify Corporation
Penguncian Layar
Dampak: Perintah "Kunci Layar" tidak memberikan pengaruh secara langsung
Deskripsi: Perintah "Kunci Layar" item bar menu Status Rantai Kunci tidak berpengaruh hingga setelah pengaturan "Memerlukan kata sandi [lama waktu] setelah tidur atau penghemat layar dimulai" telah tertutup.
CVE-ID
CVE-2013-5187 : Michael Kisor of OrganicOrb.com, Christian Knappskog dari NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed
Penguncian Layar
Dampak: Mac yang berhibernasi dengan Masuk Otomatis mungkin tidak memerlukan kata sandi ketika membangunkannya
Deskripsi: Mac yang berhibernasi dan mengaktifkan Masuk Otomatis mungkin membolehkan bangun dari hibernasi tanpa meminta kata sandi. Masalah ini telah diatasi dengan penanganan penguncian yang lebih baik.
CVE-ID
CVE-2013-5188 : Levi Musters
Server Berbagi Layar
Dampak: Penyerang jarak jauh mungkin dapat menyebabkan pelaksanaan kode dengan sewenang-wenang.
Deskripsi: Kerentanan string format muncul di Server Berbagi Layar ketika menangani nama pengguna VNC.
CVE-ID
CVE-2013-5135 : SilentSignal berfungsi dengan iDefense VCP
syslog
Dampak: Pengguna tamu dapat melihat pesan log dari Tamu sebelumnya
Deskripsi: Log konsol dapat terlihat oleh pengguna tamu dan berisi pesan dari sesi pengguna Tamu sebelumnya. Masalah ini ditangani dengan membuat log konsol untuk Tamu hanya dapat dilihat oleh administrator.
CVE-ID
CVE-2013-5191 : Sven-S. Porst dari earthlingsoft
USB
Dampak: Aplikasi lokal berbahaya dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Pengendali hub USB tidak memeriksa port dan nomor port permintaan. Masalah ini ditangani dengan menambahkan pemeriksaan port dan nomor port.
CVE-ID
CVE-2013-5192 : Stefano Bianchi Mazzone, Mattia Pagnozzi, dan Aristide Fattori dari Computer and Network Security Lab (LaSER), Università degli Studi di Milano
Catatan: OS X Mavericks menyertakan Safari 7.0, yang memadukan konten keamanan Safari 6.1. Untuk detail selengkapnya, lihat "Tentang konten keamanan Safari 6.1" di http://support.apple.com/kb/HT6000
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.