Mengenai konten keamanan OS X Mavericks v10.9.2 dan Pembaruan Keamanan 2014-001

Dokumen ini menjelaskan konten keamanan OS X Mavericks v10.9.2 dan Pembaruan Keamanan 2014-001.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".

Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak, atau dari situs web Unduhan Apple.

OS X Mavericks 10.9.2 dan Pembaruan Keamanan 2014-001

  • Apache

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Beberapa kerentanan dalam Apache

    Penjelasan: Beberapa kerentanan muncul dalam Apache, yang paling serius dapat mengakibatkan skripting lintas situs. Masalah-masalah ini telah diatasi dengan memperbarui Apache ke versi 2.2.26.

    CVE-ID

    CVE-2013-1862

    CVE-2013-1896

  • Sandbox App

    Tersedia untuk: OS X Mountain Lion v10.8.5

    Dampak: Sandbox App mungkin dilintas

    Penjelasan: Antarmuka LaunchServices untuk meluncurkan app yang diperbolehkan app sandbox untuk menentukan daftar argumen yang disampaikan ke proses baru. Kompromi atas aplikasi yang terkena sandbox dapat menyalahgunakan hal ini untuk memintas sandbox. Masalah ini telah ditangani dengan mencegah aplikasi yang terkena sandbox dari menentukan argumen. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.

    CVE-ID

    CVE-2013-5179 : Friedrich Graeter dari The Soulmen GbR

  • ATS

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Menampilkan atau mengunduh dokumen yang berisi fon tersemat perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Penjelasan: Masalah kerusakan memori muncul saat menangani fon Tipe 1. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1254 : Felix Groebert dari Tim Keamanan Google

  • ATS

    Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

    Dampak: Sandbox App mungkin dilintas

    Penjelasan: Masalah kerusakan memori muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1262 : Meder Kydyraliev dari Tim Keamanan Google

  • ATS

    Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

    Dampak: Sandbox App mungkin dilintas

    Penjelasan: Masalah pengosongan arbitrer muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini ditangani melalui tambahan validasi pesan Mach.

    CVE-ID

    CVE-2014-1255 : Meder Kydyraliev dari Tim Keamanan Google

  • ATS

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Sandbox App mungkin dilintas

    Penjelasan: Masalah kelebihan buffer muncul saat menangani pesan Mach yang diberikan ke ATS. Masalah ini telah diatasi dengan pemeriksaan batas-batas tambahan.

    CVE-ID

    CVE-2014-1256 : Meder Kydyraliev dari Tim Keamanan Google

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Sertifikat dasar telah diperbarui

    Penjelasan: Sekumpulan sertifikat dasar sistem telah diperbarui. Daftar lengkap dasar sistem yang dikenali dapat dilihat melalui aplikasi Keychain Access (Akses Rantai Kunci).

  • Cookie CFNetwork

    Tersedia untuk: OS X Mountain Lion v10.8.5

    Dampak: Cookie sesi mungkin tetap ada setelah mengatur ulang Safari

    Penjelasan: Mengatur ulang Safari tidak selalu menghapus cookie sesi hingga Safari ditutup. Masalah ini telah diatasi melalui penanganan cookie sesi yang ditingkatkan. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.

    CVE-ID

    CVE-2014-1257 : Rob Ansaldo dari Amherst College, Graham Bennett

  • CoreAnimation

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Mengunjungi situs perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Tumpukan kelebihan buffer muncul saat menangani gambar CoreAnimation. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1258 : Karl Smith dari NCC Group

  • CoreText

    Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

    Dampak: Aplikasi yang menggunakan CoreText dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah penandatanganan muncul di CoreText saat menangani fon Unicode. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang ditingkatkan.

    CVE-ID

    CVE-2014-1261 : Lucas Apa dan Carlos Mario Penagos dari IOActive Labs

  • curl

    Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya

    Penjelasan: Saat menggunakan curl agar terhubung ke URL HTTPS yang memuat alamat IP, alamat IP tidak divalidasi terhadap sertifikat. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks v10.9.

    CVE-ID

    CVE-2014-1263 : Roland Moriz dari Moriz GmbH

  • Keamanan Data

    Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

    Dampak: Penyerang dengan posisi yang memiliki jaringan istimewa dapat mengambil atau memodifikasi data dalam sesi yang dilindungi oleh SSL/TLS

    Penjelasan: Transpor Aman gagal memvalidasi keaslian koneksi tersebut. Masalah ini telah diatasi dengan memulihkan langkah-langkah validasi yang tidak ada.

    CVE-ID

    CVE-2014-1266

  • Tanggal dan Waktu

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Pengguna yang tidak memiliki hak istimewa dapat mengubah jam sistem

    Penjelasan: Pembaruan ini mengubah perilaku dari

    systemsetup
    perintah meminta hak istimewa administrator untuk mengubah jam sistem.

    CVE-ID

    CVE-2014-1265

  • Penanda File

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Menampilkan file dengan nama perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer muncul saat menangani nama file. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1259

  • Finder

    Tersedia untuk: OS X Mavericks 10.9 dan 10.9.1

    Dampak: Mengakses ACL file melalui Finder dapat mengakibatkan pengguna lain memperoleh akses tidak sah ke file

    Penjelasan: Mengakses ACL file melalui Finder dapat merusak ACL di dalam data. Masalah ini telah diatasi melalui penanganan ACL yang ditingkatkan.

    CVE-ID

    CVE-2014-1264

  • ImageIO

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan terungkapnya konten memori

    Penjelasan: Masalah akses memori yang tidak diinisialisasi muncul saat menangani libjpeg dari penanda JPEG, yang mengakibatkan terungkapnya konten memori. Masalah ini telah diatasi dengan penanganan JPEG yang lebih baik.

    CVE-ID

    CVE-2013-6629 : Michal Zalewski

  • IOSerialFamily

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kernel

    Penjelasan: Akses larik di luar batas muncul di driver IOSerialFamily. Masalah ini telah diatasi melalui pemeriksaan batas-batas tambahan. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks v10.9 atau versi lebih baru.

    CVE-ID

    CVE-2013-5139 : @dent1zt

  • LaunchServices

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

    Dampak: File dapat menampilkan ekstensi yang salah

    Penjelasan: Masalah muncul saat menangani karakter unicode tertentu yang dapat membolehkan nama file untuk menampilkan ekstensi yang salah. Masalah ini telah diatasi dengan memfilter karakter unicode yang tidak aman agar tidak ditampilkan di nama file. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks v10.9 atau versi lebih baru.

    CVE-ID

    CVE-2013-5178 : Jesse Ruderman dari Mozilla Corporation, Stephane Sudre dari Intego

  • Driver NVIDIA

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Mengeksekusi aplikasi berbahaya dapat mengakibatkan eksekusi kode arbitrer dalam kartu grafis

    Penjelasan: Masalah muncul hingga mengizinkan penulisan ke beberapa memori tepercaya di kartu grafis. Masalah ini telah diatasi dengan menghapus kemampuan host untuk menulis ke memori tersebut.

    CVE-ID

    CVE-2013-5986 : Marcin Kościelnicki dari X.Org Foundation Nouveau project

    CVE-2013-5987 : Marcin Kościelnicki dari X.Org Foundation Nouveau project

  • PHP

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Beberapa kerentanan dalam PHP

    Penjelasan: Beberapa kerentanan muncul dalam PHP, yang paling serius mungkin telah mengakibatkan eksekusi kode arbitrer. Masalah ini telah diatasi dengan memperbarui PHP ke versi 5.4.24 di OS X Mavericks v10.9, dan 5.3.28 di OS X Lion dan Mountain Lion.

    CVE-ID

    CVE-2013-4073

    CVE-2013-4113

    CVE-2013-4248

    CVE-2013-6420

  • QuickLook

    Tersedia untuk: OS X Mountain Lion v10.8.5

    Dampak: Mengunduh file Microsoft Office perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kerusakan memori muncul saat menangani file Microsoft Office di QuickLook. Mengunduh file Microsoft Office perusak yang berbahaya mungkin telah mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem yang menjalankan OS X Mavericks 10.9 atau versi lebih baru.

    CVE-ID

    CVE-2014-1260 : Felix Groebert dari Tim Keamanan Google

  • QuickLook

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Mengunduh dokumen Microsoft Word perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah pengosongan ganda muncul saat menangani QuickLook di dokumen Microsoft Word. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.

    CVE-ID

    CVE-2014-1252 : Felix Groebert dari Tim Keamanan Google

  • QuickTime

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer muncul saat menangani atom 'ftab'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1246 : Peneliti anonim bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kerusakan memori muncul saat menangani file atom 'dref'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1247 : Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative HP

  • QuickTime

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer muncul saat menangani atom 'ldat'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1248 : Jason Kratzer bekerja sama dengan iDefense VCP

  • QuickTime

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Menampilkan gambar PSD perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kelebihan buffer muncul saat menangani gambar PSD. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1249 : dragonltx dari Tim Keamanan Tencent

  • QuickTime

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah pertukaran bita di luar batas muncul saat menangani elemen 'ttfo'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1250 : Jason Kratzer bekerja sama dengan iDefense VCP

  • QuickTime

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 dan 10.9.1

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah penandatanganan muncul saat menangani file atom 'stsz'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1245 : Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative HP

  • Transpor Aman

    Tersedia untuk: OS X Mountain Lion v10.8.5

    Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL

    Penjelasan: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Untuk mengatasi masalah aplikasi ini menggunakan Transpor Aman, mitigasi fragmen 1 bita telah diaktifkan secara default untuk konfigurasi ini.

    CVE-ID

    CVE-2011-3389 : Juliano Rizzo dan Thai Duong

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: