Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak, atau dari situs web Unduhan Apple.
OS X Mavericks 10.9.2 dan Pembaruan Keamanan 2014-001
-
Apache
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Beberapa kerentanan dalam Apache
Penjelasan: Beberapa kerentanan muncul dalam Apache, yang paling serius dapat mengakibatkan skripting lintas situs. Masalah-masalah ini telah diatasi dengan memperbarui Apache ke versi 2.2.26.
CVE-ID
CVE-2013-1862
CVE-2013-1896
-
Sandbox App
Tersedia untuk: OS X Mountain Lion v10.8.5
Dampak: Sandbox App mungkin dilintas
Penjelasan: Antarmuka LaunchServices untuk meluncurkan app yang diperbolehkan app sandbox untuk menentukan daftar argumen yang disampaikan ke proses baru. Kompromi atas aplikasi yang terkena sandbox dapat menyalahgunakan hal ini untuk memintas sandbox. Masalah ini telah ditangani dengan mencegah aplikasi yang terkena sandbox dari menentukan argumen. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.
CVE-ID
CVE-2013-5179 : Friedrich Graeter dari The Soulmen GbR
-
ATS
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat menangani fon Tipe 1. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1254 : Felix Groebert dari Tim Keamanan Google
-
ATS
Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1
Dampak: Sandbox App mungkin dilintas
Penjelasan: Masalah kerusakan memori muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1262 : Meder Kydyraliev dari Tim Keamanan Google
-
ATS
Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1
Dampak: Sandbox App mungkin dilintas
Penjelasan: Masalah pengosongan arbitrer muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini ditangani melalui tambahan validasi pesan Mach.
CVE-ID
CVE-2014-1255 : Meder Kydyraliev dari Tim Keamanan Google
-
ATS
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Sandbox App mungkin dilintas
Penjelasan: Masalah kelebihan buffer muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini telah diatasi dengan pemeriksaan batas-batas tambahan.
CVE-ID
CVE-2014-1256 : Meder Kydyraliev dari Tim Keamanan Google
-
Kebijakan Kepercayaan Sertifikat
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Sertifikat dasar telah diperbarui
Penjelasan: Sekumpulan sertifikat dasar sistem telah diperbarui. Daftar lengkap dasar sistem yang dikenali dapat dilihat melalui aplikasi Keychain Access (Akses Rantai Kunci).
-
Cookie CFNetwork
Tersedia untuk: OS X Mountain Lion v10.8.5
Dampak: Cookie sesi mungkin tetap ada setelah mengatur ulang Safari
Penjelasan: Mengatur ulang Safari tidak selalu menghapus cookie sesi hingga Safari ditutup. Masalah ini telah diatasi melalui penanganan cookie sesi yang ditingkatkan. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.
CVE-ID
CVE-2014-1257 : Rob Ansaldo dari Amherst College, Graham Bennett
-
CoreAnimation
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Tumpukan kelebihan buffer muncul saat menangani gambar CoreAnimation. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1258 : Karl Smith dari NCC Group
-
CoreText
Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1
Dampak: Aplikasi yang menggunakan CoreText dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah penandatanganan muncul di CoreText saat menangani fon Unicode. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang ditingkatkan.
CVE-ID
CVE-2014-1261 : Lucas Apa dan Carlos Mario Penagos dari IOActive Labs
-
curl
Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya
Penjelasan: Saat menggunakan curl agar terhubung ke URL HTTPS yang memuat alamat IP, alamat IP tidak divalidasi terhadap sertifikat. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks v10.9.
CVE-ID
CVE-2014-1263 : Roland Moriz dari Moriz GmbH
-
Keamanan Data
Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1
Dampak: Penyerang dengan posisi yang memiliki jaringan istimewa dapat mengambil atau memodifikasi data dalam sesi yang dilindungi oleh SSL/TLS
Penjelasan: Transpor Aman gagal memvalidasi keaslian koneksi tersebut. Masalah ini telah diatasi dengan memulihkan langkah-langkah validasi yang tidak ada.
CVE-ID
CVE-2014-1266
-
Tanggal dan Waktu
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Pengguna yang tidak memiliki hak istimewa dapat mengubah jam sistem
Penjelasan: Pembaruan ini mengubah perilaku dari
systemsetup
perintah meminta hak istimewa administrator untuk mengubah jam sistem.CVE-ID
CVE-2014-1265
-
Penanda File
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Menampilkan file dengan nama perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Kelebihan buffer muncul saat menangani nama file. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1259
-
Finder
Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1
Dampak: Mengakses ACL file melalui Finder dapat mengakibatkan pengguna lain memperoleh akses tidak sah ke file
Penjelasan: Mengakses ACL file melalui Finder dapat merusak ACL di dalam data. Masalah ini telah diatasi melalui penanganan ACL yang ditingkatkan.
CVE-ID
CVE-2014-1264
-
ImageIO
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan terungkapnya konten memori
Penjelasan: Masalah akses memori yang tidak diinisialisasi muncul saat menangani libjpeg dari penanda JPEG, yang mengakibatkan terungkapnya konten memori. Masalah ini telah diatasi dengan penanganan JPEG yang lebih baik.
CVE-ID
CVE-2013-6629 : Michal Zalewski
-
IOSerialFamily
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel
Penjelasan: Akses larik di luar batas muncul di driver IOSerialFamily. Masalah ini telah diatasi melalui pemeriksaan batas-batas tambahan. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks v10.9 atau versi lebih baru.
CVE-ID
CVE-2013-5139 : @dent1zt
-
LaunchServices
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5
Dampak: File dapat menampilkan ekstensi yang salah
Penjelasan: Masalah muncul saat menangani karakter unicode tertentu yang dapat membolehkan nama file untuk menampilkan ekstensi yang salah. Masalah ini telah diatasi dengan memfilter karakter unicode yang tidak aman agar tidak ditampilkan di nama file. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks v10.9 atau versi lebih baru.
CVE-ID
CVE-2013-5178 : Jesse Ruderman dari Mozilla Corporation, Stephane Sudre dari Intego
-
Driver NVIDIA
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kartu grafis
Penjelasan: Masalah muncul hingga mengizinkan penulisan ke beberapa memori tepercaya di kartu grafis. Masalah ini telah diatasi dengan menghapus kemampuan host untuk menulis ke memori tersebut.
CVE-ID
CVE-2013-5986 : Marcin Kościelnicki dari X.Org Foundation Nouveau project
CVE-2013-5987 : Marcin Kościelnicki dari X.Org Foundation Nouveau project
-
PHP
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Beberapa kerentanan dalam PHP
Penjelasan: Beberapa kerentanan muncul dalam PHP, yang paling serius mungkin telah mengakibatkan eksekusi kode arbitrer. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.4.24 di OS X Mavericks v10.9, dan 5.3.28 di OS X Lion dan Mountain Lion.
CVE-ID
CVE-2013-4073
CVE-2013-4113
CVE-2013-4248
CVE-2013-6420
-
QuickLook
Tersedia untuk: OS X Mountain Lion v10.8.5
Dampak: Mengunduh file Microsoft Office perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat menangani file Microsoft Office di QuickLook. Mengunduh file Microsoft Office perusak yang berbahaya mungkin telah mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.
CVE-ID
CVE-2014-1260 : Felix Groebert dari Tim Keamanan Google
-
QuickLook
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Mengunduh dokumen Microsoft Word perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah pengosongan ganda muncul saat menangani QuickLook di dokumen Microsoft Word. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-ID
CVE-2014-1252 : Felix Groebert dari Tim Keamanan Google
-
QuickTime
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Kelebihan buffer muncul saat menangani atom 'ftab'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1246 : Peneliti anonim bekerja sama dengan Zero Day Initiative HP
-
QuickTime
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kerusakan memori muncul saat menangani file atom 'dref'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1247 : Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative HP
-
QuickTime
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Kelebihan buffer muncul saat menangani atom 'ldat'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1248 : Jason Kratzer bekerja sama dengan iDefense VCP
-
QuickTime
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Menampilkan gambar PSD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Kelebihan buffer muncul saat menangani gambar PSD. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1249 : dragonltx dari Tim Keamanan Tencent
-
QuickTime
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah pertukaran bita di luar batas muncul saat menangani elemen 'ttfo'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1250 : Jason Kratzer bekerja sama dengan iDefense VCP
-
QuickTime
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah penandatanganan muncul saat menangani file atom 'stsz'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.
CVE-ID
CVE-2014-1245 : Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative HP
-
Transpor Aman
Tersedia untuk: OS X Mountain Lion v10.8.5
Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL
Penjelasan: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Untuk mengatasi masalah aplikasi ini menggunakan Transpor Aman, mitigasi fragmen 1 bita telah diaktifkan secara default untuk konfigurasi ini.
CVE-ID
CVE-2011-3389 : Juliano Rizzo dan Thai Duong