Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak, atau dari situs web Unduhan Apple.
OS X Mavericks 10.9.2 dan Pembaruan Keamanan 2014-001
- 

- 

Apache

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Beberapa kerentanan dalam Apache

Penjelasan: Beberapa kerentanan muncul dalam Apache, yang paling serius dapat mengakibatkan skripting lintas situs. Masalah-masalah ini telah diatasi dengan memperbarui Apache ke versi 2.2.26.

CVE-ID

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Sandbox App

Tersedia untuk: OS X Mountain Lion v10.8.5

Dampak: Sandbox App mungkin dilintas

Penjelasan: Antarmuka LaunchServices untuk meluncurkan app yang diperbolehkan app sandbox untuk menentukan daftar argumen yang disampaikan ke proses baru. Kompromi atas aplikasi yang terkena sandbox dapat menyalahgunakan hal ini untuk memintas sandbox. Masalah ini telah ditangani dengan mencegah aplikasi yang terkena sandbox dari menentukan argumen. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.

CVE-ID

CVE-2013-5179 : Friedrich Graeter dari The Soulmen GbR

 

- 

- 

ATS

Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Penjelasan: Masalah kerusakan memori muncul saat menangani fon Tipe 1. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1254 : Felix Groebert dari Tim Keamanan Google

 

- 

- 

ATS

Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

Dampak: Sandbox App mungkin dilintas

Penjelasan: Masalah kerusakan memori muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1262 : Meder Kydyraliev dari Tim Keamanan Google

 

- 

- 

ATS

Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

Dampak: Sandbox App mungkin dilintas

Penjelasan: Masalah pengosongan arbitrer muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini ditangani melalui tambahan validasi pesan Mach.

CVE-ID

CVE-2014-1255 : Meder Kydyraliev dari Tim Keamanan Google

 

- 

- 

ATS

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Sandbox App mungkin dilintas

Penjelasan: Masalah kelebihan buffer muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini telah diatasi dengan pemeriksaan batas-batas tambahan.

CVE-ID

CVE-2014-1256 : Meder Kydyraliev dari Tim Keamanan Google

 

- 

- 

Kebijakan Kepercayaan Sertifikat

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Sertifikat dasar telah diperbarui

Penjelasan: Sekumpulan sertifikat dasar sistem telah diperbarui. Daftar lengkap dasar sistem yang dikenali dapat dilihat melalui aplikasi Keychain Access (Akses Rantai Kunci).

 

- 

- 

Cookie CFNetwork

Tersedia untuk: OS X Mountain Lion v10.8.5

Dampak: Cookie sesi mungkin tetap ada setelah mengatur ulang Safari

Penjelasan: Mengatur ulang Safari tidak selalu menghapus cookie sesi hingga Safari ditutup. Masalah ini telah diatasi melalui penanganan cookie sesi yang ditingkatkan. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.

CVE-ID

CVE-2014-1257 : Rob Ansaldo dari Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Tumpukan kelebihan buffer muncul saat menangani gambar CoreAnimation. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1258 : Karl Smith dari NCC Group

 

- 

- 

CoreText

Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

Dampak: Aplikasi yang menggunakan CoreText dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Masalah penandatanganan muncul di CoreText saat menangani fon Unicode. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang ditingkatkan.

CVE-ID

CVE-2014-1261 : Lucas Apa dan Carlos Mario Penagos dari IOActive Labs

 

- 

- 

curl

Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

Penjelasan: Saat menggunakan curl agar terhubung ke URL HTTPS yang memuat alamat IP, alamat IP tidak divalidasi terhadap sertifikat. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks v10.9.

CVE-ID

CVE-2014-1263 : Roland Moriz dari Moriz GmbH

 

- 

- 

Keamanan Data

Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

Dampak: Penyerang dengan posisi yang memiliki jaringan istimewa dapat mengambil atau memodifikasi data dalam sesi yang dilindungi oleh SSL/TLS

Penjelasan: Transpor Aman gagal memvalidasi keaslian koneksi tersebut. Masalah ini telah diatasi dengan memulihkan langkah-langkah validasi yang tidak ada.

CVE-ID

CVE-2014-1266

 

- 

- 

Tanggal dan Waktu

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Pengguna yang tidak memiliki hak istimewa dapat mengubah jam sistem

Penjelasan: Pembaruan ini mengubah perilaku dari
systemsetup
perintah meminta hak istimewa administrator untuk mengubah jam sistem.
CVE-ID

CVE-2014-1265

 

- 

- 

Penanda File

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Menampilkan file dengan nama perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Kelebihan buffer muncul saat menangani nama file. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1259

 

- 

- 

Finder

Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

Dampak: Mengakses ACL file melalui Finder dapat mengakibatkan pengguna lain memperoleh akses tidak sah ke file

Penjelasan: Mengakses ACL file melalui Finder dapat merusak ACL di dalam data. Masalah ini telah diatasi melalui penanganan ACL yang ditingkatkan.

CVE-ID

CVE-2014-1264

 

- 

- 

ImageIO

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan terungkapnya konten memori

Penjelasan: Masalah akses memori yang tidak diinisialisasi muncul saat menangani libjpeg dari penanda JPEG, yang mengakibatkan terungkapnya konten memori. Masalah ini telah diatasi dengan penanganan JPEG yang lebih baik.

CVE-ID

CVE-2013-6629 : Michal Zalewski

 

- 

- 

IOSerialFamily

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel

Penjelasan: Akses larik di luar batas muncul di driver IOSerialFamily. Masalah ini telah diatasi melalui pemeriksaan batas-batas tambahan. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks v10.9 atau versi lebih baru.

CVE-ID

CVE-2013-5139 : @dent1zt

 

- 

- 

LaunchServices

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Dampak: File dapat menampilkan ekstensi yang salah

Penjelasan: Masalah muncul saat menangani karakter unicode tertentu yang dapat membolehkan nama file untuk menampilkan ekstensi yang salah. Masalah ini telah diatasi dengan memfilter karakter unicode yang tidak aman agar tidak ditampilkan di nama file. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks v10.9 atau versi lebih baru.

CVE-ID

CVE-2013-5178 : Jesse Ruderman dari Mozilla Corporation, Stephane Sudre dari Intego

 

- 

- 

Driver NVIDIA

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kartu grafis

Penjelasan: Masalah muncul hingga mengizinkan penulisan ke beberapa memori tepercaya di kartu grafis. Masalah ini telah diatasi dengan menghapus kemampuan host untuk menulis ke memori tersebut.

CVE-ID

CVE-2013-5986 : Marcin Kościelnicki dari X.Org Foundation Nouveau project

CVE-2013-5987 : Marcin Kościelnicki dari X.Org Foundation Nouveau project

 

- 

- 

PHP

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Beberapa kerentanan dalam PHP

Penjelasan: Beberapa kerentanan muncul dalam PHP, yang paling serius mungkin telah mengakibatkan eksekusi kode arbitrer. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.4.24 di OS X Mavericks v10.9, dan 5.3.28 di OS X Lion dan Mountain Lion.

CVE-ID

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

Tersedia untuk: OS X Mountain Lion v10.8.5

Dampak: Mengunduh file Microsoft Office perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Masalah kerusakan memori muncul saat menangani file Microsoft Office di QuickLook. Mengunduh file Microsoft Office perusak yang berbahaya mungkin telah mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.

CVE-ID

CVE-2014-1260 : Felix Groebert dari Tim Keamanan Google

 

- 

- 

QuickLook

Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Mengunduh dokumen Microsoft Word perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Masalah pengosongan ganda muncul saat menangani QuickLook di dokumen Microsoft Word. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-ID

CVE-2014-1252 : Felix Groebert dari Tim Keamanan Google

 

- 

- 

QuickTime

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Kelebihan buffer muncul saat menangani atom 'ftab'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1246 : Peneliti anonim bekerja sama dengan Zero Day Initiative HP

 

- 

- 

QuickTime

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Masalah kerusakan memori muncul saat menangani file atom 'dref'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1247 : Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative HP

 

- 

- 

QuickTime

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Kelebihan buffer muncul saat menangani atom 'ldat'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1248 : Jason Kratzer bekerja sama dengan iDefense VCP

 

- 

- 

QuickTime

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Menampilkan gambar PSD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Kelebihan buffer muncul saat menangani gambar PSD. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1249 : dragonltx dari Tim Keamanan Tencent

 

- 

- 

QuickTime

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Masalah pertukaran bita di luar batas muncul saat menangani elemen 'ttfo'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1250 : Jason Kratzer bekerja sama dengan iDefense VCP

 

- 

- 

QuickTime

Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Penjelasan: Masalah penandatanganan muncul saat menangani file atom 'stsz'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

CVE-ID

CVE-2014-1245 : Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative HP

 

- 

- 

Transpor Aman

Tersedia untuk: OS X Mountain Lion v10.8.5

Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

Penjelasan: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Untuk mengatasi masalah aplikasi ini menggunakan Transpor Aman, mitigasi fragmen 1 bita telah diaktifkan secara default untuk konfigurasi ini.

 
CVE-ID

CVE-2011-3389 : Juliano Rizzo dan Thai Duong