Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak, atau dari situs web Unduhan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
-
CFNetwork HTTPProtocol
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, dan OS X Mavericks 10.9.2
Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat memperoleh informasi pengesahan situs web
Deskripsi: Judul Set-Cookie HTTP akan diproses meskipun koneksi ditutup sebelum baris judul lengkap. Penyerang dapat menghilangkan pengaturan keamanan dari cookie dengan menutup paksa koneksi sebelum pengaturan keamanan dikirim, lalu memperoleh nilai cookie yang tidak dilindungi. Masalah ini telah diatasi dengan mengabaikan baris judul HTTP yang tidak lengkap.
CVE-ID
CVE-2014-1296 : Antoine Delignat-Lavaud dari Prosecco di Inria Paris
-
CoreServicesUIAgent
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Mengunjungi situs web atau URL perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah string format muncul saat menangani URL. Masalah ini telah diatasi melalui validasi URL tambahan. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.
CVE-ID
CVE-2014-1315 : Lukasz Pilorz dari runic.pl, Erik Kooistra
-
FontParser
Tersedia untuk: OS X Mountain Lion v10.8.5
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Kekurangan buffer muncul saat menangani file PDF. Masalah ini telah diatasi melalui pemeriksaan batas-batas tambahan. Masalah ini tidak memengaruhi sistem OS X Mavericks.
CVE-ID
CVE-2013-5170 : Will Dormann dari CERT/CC
-
Heimdal Kerberos
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan
Penjelasan: Kegagalan yang dapat dialami muncul saat menangani data ASN.1. Masalah ini telah diatasi melalui validasi data ASN.1.
CVE-ID
CVE-2014-1316 : Joonas Kuorilehto dari Codenomicon
-
ImageIO
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Melihat gambar JPEG perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Penjelasan: Masalah kelebihan buffer muncul pada ImageIO saat menangani gambar JPEG. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.
CVE-ID
CVE-2014-1319 : Cristian Draghici dari Modulo Consulting, Karl Smith dari NCC Group
-
Driver Intel Graphics
Tersedia untuk: OS X Mountain Lion v10.8.5 dan OS X Mavericks 10.9.2
Dampak: Aplikasi yang berbahaya dapat mengambil alih kendali sistem
Penjelasan: Masalah validasi muncul saat menangani penunjuk dari userspace. Masalah ini telah diatasi dengan validasi tambahan pada penunjuk.
CVE-ID
CVE-2014-1318 : Ian Beer dari Google Project Zero bekerja sama dengan Zero Day Initiative dari HP
-
IOKit Kernel
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel
Deskripsi: Sekumpulan penunjuk kernel yang disimpan di objek IOKit dapat dipulihkan dari userland. Masalah ini telah diatasi dengan menghilangkan penunjuk dari objek tersebut.
CVE-ID
CVE-2014-1320 : Ian Beer dari Google Project Zero bekerja sama dengan Zero Day Initiative dari HP
-
Kernel
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel
Deskripsi: Penunjuk kernel yang disimpan di objek XNU dapat dipulihkan dari userland. Masalah ini telah diatasi dengan menghilangkan penunjuk dari objek tersebut.
CVE-ID
CVE-2014-1322 : Ian Beer dari Google Project Zero
-
Manajemen Daya
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Layar mungkin tidak terkunci
Deskripsi: Jika tombol ditekan atau trackpad disentuh setelah layar ditutup, sistem mungkin mencoba bangun saat akan tidur, yang dapat mengakibatkan layar tidak terkunci. Masalah ini telah diatasi dengan mengabaikan penekanan tombol saat beralih ke mode tidur. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.
CVE-ID
CVE-2014-1321 : Paul Kleeberg dari Stratis Health Bloomington MN, Julian Sincu di Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda dari R&A, Daniel Luz
-
Ruby
Tersedia untuk: OS X Mavericks 10.9.2
Dampak: Menjalankan skrip Ruby yang menangani tag YAML yang tidak tepercaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kelebihan bilangan bulat muncul saat menangani tag YAML pada LibYAML. Masalah ini dapat diatasi melalui validasi tambahan pada tag YAML. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.
CVE-ID
CVE-2013-6393
-
Ruby
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, dan OS X Mavericks 10.9.2
Dampak: Menjalankan skrip Ruby yang menggunakan input yang tidak tepercaya untuk membuat objek Float (Apung) dapat mengakibatkan terhentinya aplikasi tiba-tiba atau dijalankannya kode arbitrer
Penjelasan: Masalah kelebihan buffer yang menumpuk muncul pada Ruby saat mengonversi string ke nilai titik mengapung. Masalah ini telah diatasi melalui validasi tambahan pada nilai titik mengapung.
CVE-ID
CVE-2013-4164
-
Keamanan - Transpor Aman
Tersedia untuk: OS X Mountain Lion v10.8.5 dan OS X Mavericks 10.9.2
Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat menangkap data atau mengubah operasi yang dilakukan di sesi yang dilindungi oleh SSL
Pada penyerangan 'triple handshake', penyerang dapat membuat dua koneksi yang memiliki kunci dan handshake enkripsi yang sama, memasukkan data penyerang pada satu koneksi, dan menegosiasikan ulang sehingga koneksi tersebut dapat diteruskan ke satu sama lain. Guna mencegah penyerangan dengan skenario ini, Transportasi Aman diubah sehingga, secara default, negosiasi ulang harus menyediakan sertifikat server yang sama dengan yang disediakan pada koneksi awal. Masalah ini tidak memengaruhi sistem Mac OS X 10.7 dan versi sebelumnya.
CVE-ID
CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan dan Alfredo Pironti dari Prosecco di Inria Paris
-
WindowServer
Tersedia untuk: OS X Mountain Lion v10.8.5 dan OS X Mavericks 10.9.2
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer di luar sandbox
Deskripsi: Sesi WindowServer dapat dibuat oleh aplikasi yang telah masuk ke dalam sandbox. Masalah ini telah diatasi dengan menonaktifkan aplikasi yang telah masuk ke dalam sandbox supaya tidak membuat sesi WindowServer.
CVE-ID
CVE-2014-1314 : KeenTeam yang bekerja sama dengan Zero Day Initiative dari HP
Catatan: Pembaruan Keamanan 2014-002 untuk sistem OS X Mavericks mencakup konten keamanan Safari 7.0.3.