Mengenai konten keamanan OS X Mavericks v10.9

Dokumen ini menjelaskan konten keamanan OS X Mavericks v10.9.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

OS X Mavericks v10.9

  • Firewall Aplikasi

    Dampak: blockApp socketfilterfw tidak dapat memblokir aplikasi untuk menerima koneksi jaringan

    Deskripsi: Pilihan blockApp dari alat baris perintah socketfilterfw tidak memblokir dengan benar aplikasi untuk menerima koneksi jaringan. Masalah ini telah ditangani melalui penanganan yang lebih baik terhadap pilihan blockApp.

    CVE-ID

    CVE-2013-5165 : Alexander Frangis dari PopCap Games

  • Sandbox App

    Dampak: Sandbox App mungkin dilintas

    Deskripsi: Antarmuka LaunchServices yang digunakan untuk membuka app memperbolehkan app sandbox untuk menentukan daftar argumen yang diberikan ke proses baru. Aplikasi berbahaya yang terkena sandbox dapat menyalahgunakan hal ini untuk memintas sandbox. Masalah ini telah ditangani dengan tidak memperbolehkan aplikasi yang terkena sandbox untuk menentukan argumen.

    CVE-ID

    CVE-2013-5179 : Friedrich Graeter dari The Soulmen GbR

  • Bluetooth

    Dampak: Aplikasi lokal berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

    Deskripsi: Pengendali penyedia USB Bluetooth menghapus antarmuka yang diperlukan untuk operasi mendatang. Masalah ini telah ditangani dengan mempertahankan antarmuka hingga benar-benar tidak diperlukan.

    CVE-ID

    CVE-2013-5166 : Stefano Bianchi Mazzone, Mattia Pagnozzi, dan Aristide Fattori dari Computer and Network Security Lab (LaSER), Università degli Studi di Milano

  • CFNetwork

    Dampak: Cookie sesi akan tetap ada walaupun sudah mengatur ulang Safari

    Deskripsi: Mengatur ulang Safari tidak selalu menghapus cookie sesi hingga Safari ditutup. Masalah ini telah diatasi melalui penanganan cookie sesi yang lebih baik.

    CVE-ID

    CVE-2013-5167 : Graham Bennett, Rob Ansaldo dari Amherst College

  • CFNetwork SSL

    Dampak: Penyerang dapat mendekripsi bagian dari koneksi SSL

    Deskripsi: Hanya SSL versi SSLv3 dan TLS 1.0 yang digunakan. Versi tersebut dapat menjadi kelemahan protokol ketika menggunakan kode blokir. Pelaku serangan MITM (man-in-the-middle-attacker) kemungkinan telah memasukkan data yang tidak valid, sehingga koneksi tertutup tetapi mengungkapkan beberapa informasi dari data sebelumnya. Jika koneksi yang sama dicoba berkali-kali, penyerang mungkin dapat mendekripsi data yang dikirim, seperti kata sandi. Masalah ini telah diatasi dengan mengaktifkan TLS 1.2.

    CVE-ID

    CVE-2011-3389

  • Konsol

    Dampak: Mengeklik entri log berbahaya dapat mengakibatkan aplikasi tiba-tiba dijalankan

    Deskripsi: Pembaruan ini memodifikasi respons Konsol saat mengeklik entri catatan dengan URL yang melekat. Daripada membuka URL, Konsol kini akan meninjau URL tersebut dengan Lihat Cepat.

    CVE-ID

    CVE-2013-5168 : Aaron Sigel dari vtty.com

  • CoreGraphics

    Dampak: Jendela mungkin terlihat di layar terkunci setelah layar tidur

    Deskripsi: Masalah logika muncul saat CoreGraphic menangani mode layar tidur, sehingga mengakibatkan kerusakan data yang menyebabkan jendela terlihat di layar terkunci. Masalah ini telah ditangani melalui penanganan layar tidur yang lebih baik.

    CVE-ID

    CVE-2013-5169

  • CoreGraphics

    Dampak: Melihat file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kekurangan buffer muncul saat menangani file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2013-5170 : Will Dormann dari CERT/CC

  • CoreGraphics

    Dampak: Aplikasi tanpa hak istimewa mungkin dapat mencatat ketukan tombol yang dimasukkan ke dalam aplikasi lain bahkan ketika mode input aman diaktifkan

    Deskripsi: Dengan mendaftar kejadian tombol cepat, aplikasi tanpa hak istimewa dapat mencatat ketukan tombol yang dimasukkan ke dalam aplikasi lain bahkan ketika mode input aman diaktifkan. Masalah ini telah diatasi melalui validasi tambahan kejadian tombol cepat.

    CVE-ID

    CVE-2013-5171

  • curl

    Dampak: Beberapa kerentanan di curl

    Deskripsi: Beberapa kerentanan muncul di curl, yang paling serius yang mengakibatkan eksekusi kode arbitrer. Masalah-masalah ini telah diatasi dengan memperbarui curl ke versi 7.30.0

    CVE-ID

    CVE-2013-0249

    CVE-2013-1944

  • dyld

    Dampak: Penyerang yang telah mengeksekusi kode arbriter pada perangkat dapat terus mengeksekusi kode di setiap boot-ulang

    Deskripsi: Beberapa kelebihan buffer muncul di fungsi openSharedCacheFile() dyld. Masalah tersebut telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

    CVE-ID

    CVE-2013-3950 : Stefan Esser

  • IOKitUser

    Dampak: Aplikasi lokal berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

    Deskripsi: Dereferensi penunjuk null muncul pada IOCatalogue. Masalah ini telah diatasi melalui pemeriksaan jenis tambahan.

    CVE-ID

    CVE-2013-5138 : Will Estes

  • IOSerialFamily

    Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel

    Deskripsi: Akses larik di luar batas muncul di driver IOSerialFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • Kernel

    Dampak: Menggunakan fungsi digest SHA-2 di kernel dapat mengakibatkan sistem berhenti tiba-tiba

    Deskripsi: Panjang output yang tidak benar digunakan untuk keluarga SHA-2 dari fungsi digest, menyebabkan kepanikan kernel ketika fungsi ini digunakan, biasanya terjadi selama koneksi IPSec. Masalah ini telah diatasi melalui penggunaan panjang output yang sesuai.

    CVE-ID

    CVE-2013-5172 : Christoph Nadig dari Lobotomo Software

  • Kernel

    Dampak: Memori tumpukan kernel dapat diungkapkan kepada pengguna lokal

    Deskripsi: Masalah pengungkapan informasi muncul di API msgctl dan segctl. Masalah ini telah diatasi dengan menginisialisasi struktur data yang dihasilkan dari kernel.

    CVE-ID

    CVE-2013-5142 : Kenzley Alphonse dari Kenx Technology, Inc

  • Kernel

    Dampak: Pengguna jaringan lokal dapat mengakibatkan penolakan layanan

    Deskripsi: Penghasil nomor acak kernel akan terkunci ketika memenuhi permintaan dari ruang pengguna, membolehkan pengguna jaringan lokal meminta pemintaan yang besar dan terkunci cukup lama, menolak layanan ke pengguna lain dari penghasil nomor acak tersebut. Masalah ini telah diatasi dengan melepas dan mengambil kembali kunci untuk permintaan besar dengan lebih sering.

    CVE-ID

    CVE-2013-5173 : Jaakko Pero dari Aalto University

  • Kernel

    Dampak: Pengguna lokal tanpa hak istimewa dapat mengakibatkan sistem berhenti tiba-tiba

    Deskripsi: Masalah tanda bilangan bulat muncul dalam penanganan pembacaan tty. Masalah ini telah diatasi melalui penanganan dalam pembacaan tty yang lebih baik.

    CVE-ID

    CVE-2013-5174 : CESG

  • Kernel

    Dampak: Pengguna lokal mungkin dapat mengakibatkan pengungkapan informasi memori kernel atau penghentian sistem secara tiba-tiba

    Deskripsi: Masalah pembacaan di luar batas muncul saat menangani file Mach-O. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2013-5175

  • Kernel

    Dampak: Pengguna lokal mungkin dapat menyebabkan sistem lumpuh.

    Deskripsi: Masalah pemotongan bilangan bulat muncul saat penanganan perangkat tty. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2013-5176 : CESG

  • Kernel

    Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti tiba-tiba

    Deskripsi: Kernel akan panik ketika struktur iovec tidak valid yang dimasukkan pengguna terdeteksi. Masalah ini telah diatasi melalui validasi struktur iovec yang lebih baik.

    CVE-ID

    CVE-2013-5177 : CESG

  • Kernel

    Dampak: Proses tanpa hak istimewa dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer di kernel

    Deskripsi: Masalah kerusakan memori muncul saat menangani argumen terhadap API posix_spawn. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2013-3954 : Stefan Esser

  • Kernel

    Dampak: Program multicast sumber tertentu dapat mengakibatkan aplikasi berhenti tiba-tiba ketika menggunakan jaringan Wi-Fi

    Deskripsi: Masalah pemeriksaan kesalahan muncul saat menangani paket multicast. Masalah ini telah diatasi melalui penanganan dalam paket multicast yang lebih baik.

    CVE-ID

    CVE-2013-5184 : Octoshape

  • Kernel

    Dampak: Penyerang di jaringan lokal dapat menyebabkan penolakan layanan

    Deskripsi: Penyerang di jaringan lokal dapat mengirim paket ICMP IPv6 perusak khusus dan menyebabkan muatan CPU yang tinggi. Masalah ini telah diatasi dengan membatasi nilai paket ICMP sebelum memverifikasi ceksumnya.

    CVE-ID

    CVE-2011-2391: Marc Heuse

  • Kernel

    Dampak: Aplikasi lokal berbahaya dapat menyebabkan sistem lumpuh

    Deskripsi: Masalah pemotongan bilangan bulat muncul di antarmuka soket kernel, yang dapat dimanfaatkan untuk memaksa CPU berputar tanpa henti. Masalah ini telah diatasi dengan menggunakan variabel berukuran lebih besar.

    CVE-ID

    CVE-2013-5141 : CESG

  • Manajemen Kext

    Dampak: Proses tanpa otorisasi dapat menonaktifkan beberapa ekstensi kernel yang termuat

    Deskripsi: Masalah muncul saat menangani manajemen kext ketika menangani pesan IPC dari pengirim yang tidak diautentikasi. Masalah ini telah diatasi dengan menambahkan pemeriksaan otorisasi tambahan.

    CVE-ID

    CVE-2013-5145 : "Rainbow PRISM"

  • LaunchServices

    Dampak: File dapat menampilkan ekstensi yang salah.

    Deskripsi: Masalah muncul saat menangani karakter unicode tertentu yang dapat membolehkan nama file untuk menampilkan ekstensi yang salah. Masalah ini telah diatasi dengan memfilter karakter unicode yang tidak aman agar tidak ditampilkan di nama file.

    CVE-ID

    CVE-2013-5178 : Jesse Ruderman dari Mozilla Corporation, Stephane Sudre dari Intego

  • Libc

    Dampak: Di dalam suatu kondisi yang tidak biasa, beberapa nomor acak mungkin mudah diduga.

    Deskripsi: Jika penghasil nomor acak kernel tidak dapat diakses ke srandomdev(), fungsi tersebut akan jatuh kembali ke metode alternatif yang telah dihapus oleh optimalisasi, mengarah pada kurangnya keacakan. Masalah ini telah diatasi dengan memodifikasi kode agar menjadi benar saat pengoptimalan.

    CVE-ID

    CVE-2013-5180 : Xi Wang

  • Akun Mail

    Dampak: Mail tidak dapat memilih metode autentikasi paling aman yang tersedia.

    Deskripsi: Ketika melakukan konfigurasi otomatis pada akun mail pada server mail tertentu, app Mail akan memilih autentikasi teks biasa melalui autentikasi CRAM-MD5. Masalah ini telah diatasi dengan penanganan logika yang lebih baik.

    CVE-ID

    CVE-2013-5181

  • Tampilan Header Mail

    Dampak: Pesan yang tidak ditandai mungkin muncul sebagai yang sudah ditandai dengan valid.

    Deskripsi: Masalah logika yang muncul saat Mail menangani pesan-pesan tidak bertanda yang juga berisi bagian multipart/signed . Masalah ini telah diatasi dengan peningkatan penanganan pesan yang belum ditandai.

     

    CVE-ID

    CVE-2013-5182 : Michael Roitzsch dari Technische Universität Dresden

  • Jaringan Mail

    Dampak: Informasi mungkin dengan singkat ditransfer dalam teks sederhana ketika enkripsi non-TLS dikonfigurasi.

    Deskripsi: Ketika autentikasi Kerberos diaktifkan dan Keamanan Lapisan Transport dinonaktifkan, Mail akan mengirim beberapa data yang tidak dienkripsi ke server mail, mengarah pada penghentian koneksi secara tiba-tiba. Masalah ini telah diatasi dengan penanganan konfigurasi yang lebih baik.

    CVE-ID

    CVE-2013-5183 : Richard E. Silverman dari www.qoxp.net

  • OpenLDAP

    Dampak: Alat baris perintah Idapsearch tidak menganggap konfigurasi minssf

    Deskripsi: Alat baris perintah Idapsearch tidak menganggap konfigurasi minssf, yang dapat mengarah pada enkripsi lemah diperbolehkan secara tidak terduga. Masalah ini telah ditangani melalui penanganan konfigurasi minssf yang lebih baik.

    CVE-ID

    CVE-2013-5185

  • perl

    Dampak: Skrip Perl mungkin rentan untuk menolak layanan.

    Deskripsi: Mekanisme rehash di versi Perl yang lama mungkin rentan untuk menolak layanan dalam skrip yang menggunakan input tidak tepercaya sebagai kunci hash. Masalah ini telah diatasi dengan memperbarui ke Perl 5.16.2.

    CVE-ID

    CVE-2013-1667

  • Manajemen Daya

    Dampak: Kunci layar mungkin tidak akan dimulai setelah periode waktu tertentu

    Deskripsi: Masalah penguncian muncul dalam manajemen pernyataan daya. Masalah ini telah diatasi dengan penanganan penguncian yang lebih baik.

    CVE-ID

    CVE-2013-5186 : David Herman di Sensible DB Design

  • python

    Dampak: Beberapa kerentanan di phython 2.7

    Deskripsi: Beberapa kerentanan muncul di phyton 2.7.2, yang paling berbahaya adalah yang mengarah ke dekripsi konten sambungan SSL. Pembaruan ini mengatasi masalah dengan memperbarui python ke versi 2.7.5. Informasi selengkapnya tersedia melalui situs python di http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • python

    Dampak: Beberapa kerentanan pada phyton 2.6

    Deskripsi: Beberapa kerentanan muncul di phyton 2.6.7, yang paling berbahaya adalah yang mengarah ke dekripsi konten sambungan SSL. Perbaruan ini mengatasi masalah dengan memperbarui phyton ke versi 2.6.8 dan menerapkan tambalan untuk CVE-2011-4944 dari proyek phyton. Informasi selengkapnya tersedia melalui situs phyton di http://www.python.org/download/releases/

    CVE-ID

    CVE-2011-3389

    CVE-2011-4944

    CVE-2012-0845

    CVE-2012-0876

    CVE-2012-1150

  • ruby

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

    Deskripsi: Masalah validasi nama host muncul saat menangani sertifikat SSL Ruby. Masalah ini telah diatasi dengan memperbarui Ruby ke versi 2.0.0p247.

    CVE-ID

    CVE-2013-4073

  • Keamanan

    Dampak: Dukungan untuk sertifikat X.509 dengan campuran MD5 mungkin membawa pengguna untuk mengarah dan penyingkapan informasi seiring dengan bertambahnya serangan.

    Deskripsi: Sertifikat yang ditandatangani menggunakan alogaritma campuran MD5 diterima oleh OS X. Alogaritma ini dikenal memiliki kelemahan kriptografi. Riset lebih jauh atau otoritas sertifikat yang dikonfigurasi dengan kurang tepat dapat membolehkan pembuatan sertifikat X.509 dengan nilai yang dikontrol oleh penyerang yang bisa saja dipercaya oleh sistem. Hal ini dapat mengekspos protokol X.509 untuk mengarah pada penyingkapan informasi oleh orang di balik serangan tersebut. Pembaruan ini menonaktifkan dukungan untuk sertifikat X.509 dengan campuran MD5 untuk penggunaan apa pun selain sertifikat akar yang tepercaya.

    CVE-ID

    CVE-2011-3427

  • Keamanan - Otorisasi

    Dampak: Preferensi keamanan administrator mungkin tidak dianggap

    Deskripsi: Pengaturan "Memerlukan kata sandi administrator untuk mengakses preferensi sistem dengan ikon kunci" membolehkan administrator untuk menambahkan lapisan perlindungan tambahan untuk pengaturan sistem yang sensitif. Dalam beberapa kasus ketika administrator mengaktifkan pengaturan ini, menerapkan pembaruan atau peningkatan perangkat lunak dapat mengakibatkan penonaktifan pengaturan tersebut. Masalah ini telah diatasi melalui penanganan terkait hak otorisasi yang lebih baik.

    CVE-ID

    CVE-2013-5189 : Greg Onufer

  • Keamanan - Layanan Smart Card

    Dampak: Layanan Smart Card mungkin tidak tersedia ketika pemeriksaan pembatalan sertifikasi diaktifkan.

    Deskripsi: "Masalah logika muncul saat menangani pemeriksaan pembatalan sertifikat Smart Card di OS X. Masalah ini telah ditangani melalui dukungan pembatalan sertifikat yang lebih baik.

    CVE-ID

    CVE-2013-5190 : Yongjun Jeon dari Centrify Corporation

  • Penguncian Layar

    Dampak: Perintah "Kunci Layar" tidak memberikan pengaruh secara langsung

    Deskripsi: Perintah "Kunci Layar" item bar menu Status Rantai Kunci tidak berpengaruh hingga setelah pengaturan "Memerlukan kata sandi [lama waktu] setelah tidur atau penghemat layar dimulai" telah tertutup.

    CVE-ID

    CVE-2013-5187 : Michael Kisor of OrganicOrb.com, Christian Knappskog dari NTNU (Norwegian University of Science and Technology), Stefan Grönke (CCC Trier), Patrick Reed

  • Penguncian Layar

    Dampak: Mac yang berhibernasi dengan Masuk Otomatis mungkin tidak memerlukan kata sandi ketika membangunkannya

    Deskripsi: Mac yang berhibernasi dan mengaktifkan Masuk Otomatis mungkin membolehkan bangun dari hibernasi tanpa meminta kata sandi. Masalah ini telah diatasi dengan penanganan penguncian yang lebih baik.

    CVE-ID

    CVE-2013-5188 : Levi Musters

  • Server Berbagi Layar

    Dampak: Penyerang jarak jauh mungkin dapat menyebabkan pelaksanaan kode dengan sewenang-wenang.

    Deskripsi: Kerentanan string format muncul di Server Berbagi Layar ketika menangani nama pengguna VNC.

    CVE-ID

    CVE-2013-5135 : SilentSignal berfungsi dengan iDefense VCP

  • syslog

    Dampak: Pengguna tamu dapat melihat pesan log dari Tamu sebelumnya

    Deskripsi: Log konsol dapat terlihat oleh pengguna tamu dan berisi pesan dari sesi pengguna Tamu sebelumnya. Masalah ini ditangani dengan membuat log konsol untuk Tamu hanya dapat dilihat oleh administrator.

    CVE-ID

    CVE-2013-5191 : Sven-S. Porst dari earthlingsoft

  • USB

    Dampak: Aplikasi lokal berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

    Deskripsi: Pengendali hub USB tidak memeriksa port dan nomor port permintaan. Masalah ini ditangani dengan menambahkan pemeriksaan port dan nomor port.

    CVE-ID

    CVE-2013-5192 : Stefano Bianchi Mazzone, Mattia Pagnozzi, dan Aristide Fattori dari Computer and Network Security Lab (LaSER), Università degli Studi di Milano

Catatan: OS X Mavericks menyertakan Safari 7.0, yang memadukan konten keamanan Safari 6.1. Untuk detail selengkapnya, lihat "Tentang konten keamanan Safari 6.1" di http://support.apple.com/kb/HT6000

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: