Tentang Pembaruan Keamanan 2014-002

Dokumen ini menjelaskan konten keamanan di Pembaruan Keamanan 2014-002.

Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak, atau dari situs web Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".

  • CFNetwork HTTPProtocol

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, dan OS X Mavericks 10.9.2

    Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat memperoleh informasi pengesahan situs web

    Deskripsi: Judul Set-Cookie HTTP akan diproses meskipun koneksi ditutup sebelum baris judul lengkap. Penyerang dapat menghilangkan pengaturan keamanan dari cookie dengan menutup paksa koneksi sebelum pengaturan keamanan dikirim, lalu memperoleh nilai cookie yang tidak dilindungi. Masalah ini telah diatasi dengan mengabaikan baris judul HTTP yang tidak lengkap.

    CVE-ID

    CVE-2014-1296 : Antoine Delignat-Lavaud dari Prosecco di Inria Paris

  • CoreServicesUIAgent

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Mengunjungi situs web atau URL perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah string format muncul saat menangani URL. Masalah ini telah diatasi melalui validasi URL tambahan. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.

    CVE-ID

    CVE-2014-1315 : Lukasz Pilorz dari runic.pl, Erik Kooistra

  • FontParser

    Tersedia untuk: OS X Mountain Lion v10.8.5

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Kekurangan buffer muncul saat menangani file PDF. Masalah ini telah diatasi melalui pemeriksaan batas-batas tambahan. Masalah ini tidak memengaruhi sistem OS X Mavericks.

    CVE-ID

    CVE-2013-5170 : Will Dormann dari CERT/CC

  • Heimdal Kerberos

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Penyerang dari jarak jauh dapat mengakibatkan penolakan layanan

    Penjelasan: Kegagalan yang dapat dialami muncul saat menangani data ASN.1. Masalah ini telah diatasi melalui validasi data ASN.1.

    CVE-ID

    CVE-2014-1316 : Joonas Kuorilehto dari Codenomicon

  • ImageIO

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Melihat gambar JPEG perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Penjelasan: Masalah kelebihan buffer muncul pada ImageIO saat menangani gambar JPEG. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.

    CVE-ID

    CVE-2014-1319 : Cristian Draghici dari Modulo Consulting, Karl Smith dari NCC Group

  • Driver Intel Graphics

    Tersedia untuk: OS X Mountain Lion v10.8.5 dan OS X Mavericks 10.9.2

    Dampak: Aplikasi yang berbahaya dapat mengambil alih kendali sistem

    Penjelasan: Masalah validasi muncul saat menangani penunjuk dari userspace. Masalah ini telah diatasi dengan validasi tambahan pada penunjuk.

    CVE-ID

    CVE-2014-1318 : Ian Beer dari Google Project Zero bekerja sama dengan Zero Day Initiative dari HP

  • IOKit Kernel

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel

    Deskripsi: Sekumpulan penunjuk kernel yang disimpan di objek IOKit dapat dipulihkan dari userland. Masalah ini telah diatasi dengan menghilangkan penunjuk dari objek tersebut.

    CVE-ID

    CVE-2014-1320 : Ian Beer dari Google Project Zero bekerja sama dengan Zero Day Initiative dari HP

  • Kernel

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel

    Deskripsi: Penunjuk kernel yang disimpan di objek XNU dapat dipulihkan dari userland. Masalah ini telah diatasi dengan menghilangkan penunjuk dari objek tersebut.

    CVE-ID

    CVE-2014-1322 : Ian Beer dari Google Project Zero

  • Manajemen Daya

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Layar mungkin tidak terkunci

    Deskripsi: Jika tombol ditekan atau trackpad disentuh setelah layar ditutup, sistem mungkin mencoba bangun saat akan tidur, yang dapat mengakibatkan layar tidak terkunci. Masalah ini telah diatasi dengan mengabaikan penekanan tombol saat beralih ke mode tidur. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.

    CVE-ID

    CVE-2014-1321 : Paul Kleeberg dari Stratis Health Bloomington MN, Julian Sincu di Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda dari R&A, Daniel Luz

  • Ruby

    Tersedia untuk: OS X Mavericks 10.9.2

    Dampak: Menjalankan skrip Ruby yang menangani tag YAML yang tidak tepercaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kelebihan bilangan bulat muncul saat menangani tag YAML pada LibYAML. Masalah ini dapat diatasi melalui validasi tambahan pada tag YAML. Masalah ini tidak memengaruhi sistem sebelum OS X Mavericks.

    CVE-ID

    CVE-2013-6393

  • Ruby

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, dan OS X Mavericks 10.9.2

    Dampak: Menjalankan skrip Ruby yang menggunakan input yang tidak tepercaya untuk membuat objek Float (Apung) dapat mengakibatkan terhentinya aplikasi tiba-tiba atau dijalankannya kode arbitrer

    Penjelasan: Masalah kelebihan buffer yang menumpuk muncul pada Ruby saat mengonversi string ke nilai titik mengapung. Masalah ini telah diatasi melalui validasi tambahan pada nilai titik mengapung.

    CVE-ID

    CVE-2013-4164

  • Keamanan - Transpor Aman

    Tersedia untuk: OS X Mountain Lion v10.8.5 dan OS X Mavericks 10.9.2

    Dampak: Penyerang yang berada di posisi yang memiliki akses istimewa ke jaringan dapat menangkap data atau mengubah operasi yang dilakukan di sesi yang dilindungi oleh SSL

    Pada penyerangan 'triple handshake', penyerang dapat membuat dua koneksi yang memiliki kunci dan handshake enkripsi yang sama, memasukkan data penyerang pada satu koneksi, dan menegosiasikan ulang sehingga koneksi tersebut dapat diteruskan ke satu sama lain. Guna mencegah penyerangan dengan skenario ini, Transportasi Aman diubah sehingga, secara default, negosiasi ulang harus menyediakan sertifikat server yang sama dengan yang disediakan pada koneksi awal. Masalah ini tidak memengaruhi sistem Mac OS X 10.7 dan versi sebelumnya.

    CVE-ID

    CVE-2014-1295 : Antoine Delignat-Lavaud, Karthikeyan Bhargavan dan Alfredo Pironti dari Prosecco di Inria Paris

  • WindowServer

    Tersedia untuk: OS X Mountain Lion v10.8.5 dan OS X Mavericks 10.9.2

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer di luar sandbox

    Deskripsi: Sesi WindowServer dapat dibuat oleh aplikasi yang telah masuk ke dalam sandbox. Masalah ini telah diatasi dengan menonaktifkan aplikasi yang telah masuk ke dalam sandbox supaya tidak membuat sesi WindowServer.

    CVE-ID

    CVE-2014-1314 : KeenTeam yang bekerja sama dengan Zero Day Initiative dari HP

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: