Mengenai konten keamanan OS X Mavericks v10.9.4 dan Pembaruan Keamanan 2014-003

Dokumen ini menjelaskan konten keamanan OS X Mavericks v10.9.4 dan Pembaruan Keamanan 2014-003.

Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak atau dari situs web Unduhan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

Catatan: OS X Mavericks 10.9.4 sudah termasuk konten keamanan Safari 7.0.5.

OS X Mavericks 10.9.4 dan Pembaruan Keamanan 2014-003

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Pembaruan kebijakan kepercayaan sertifikat

    Deskripsi: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di http://support.apple.com/kb/HT6005?viewlocale=id_ID.

  • copyfile

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Membuka file zip perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah pertukaran bita di luar batas muncul saat menangani file AppleDouble di dalam arsip zip. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1370 : Chaitanya (SegFault) bekerja sama dengan iDefense VCP

  • curl

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Penyerang dari jarak jauh dapat memperoleh akses ke sesi pengguna lain

    Deskripsi: Koneksi NTLM yang digunakan ulang cURL saat lebih dari satu metode autentikasi diaktifkan, sehingga penyerang dapat memperoleh akses ke sesi pengguna lain.

    CVE-ID

    CVE-2014-0015

  • Dock

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi yang terkena sandbox mungkin dapat memintas pembatasan sandbox

    Deskripsi: Masalah indeks larik yang tidak akurat muncul saat Dock menangani pesan dari aplikasi. Pesan perusak yang berbahaya dapat mengakibatkan penunjuk fungsi yang tidak valid diakses alamatnya, sehingga mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer.

    CVE-ID

    CVE-2014-1371 : Peneliti anonim bekerja sama dengan Zero Day Initiative HP

  • Driver Grafis

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Pengguna lokal dapat membaca memori kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel

    Deskripsi: Masalah pembacaan di luar batas muncul saat menangani panggilan sistem. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1372 : Ian Beer dari Google Project Zero

  • iBooks Commerce

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Penyerang yang memiliki akses ke sistem mungkin dapat memulihkan informasi pengesahan ID Apple

    Deskripsi: Masalah muncul saat menangani catatan iBooks. Proses iBooks dapat mencatat informasi pengesahan ID Apple di catatan iBooks di mana pengguna lain di sistem dapat membacanya. Masalah ini telah diatasi dengan menolak pencatatan informasi pengesahan.

    CVE-ID

    CVE-2014-1317 : Steve Dunham

  • Driver Intel Graphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi muncul saat menangani panggilan OpenGL API. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1373 : Ian Beer dari Google Project Zero

  • Driver Intel Graphics

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel

    Deskripsi: Penunjuk kernel yang disimpan di objek IOKit dapat dipulihkan dari userland. Masalah ini telah diatasi dengan menghilangkan penunjuk dari objek tersebut.

    CVE-ID

    CVE-2014-1375

  • Intel Compute

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi muncul saat menangani panggilan OpenCL API. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1376 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah pengindeksan larik muncul di IOAcceleratorFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1377 : Ian Beer dari Google Project Zero

  • IOGraphicsFamily

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak spasi alamat kernel

    Deskripsi: Penunjuk kernel yang disimpan di objek IOKit dapat dipulihkan dari userland. Masalah ini telah diatasi menggunakan ID unik dibandingkan penunjuk.

    CVE-ID

    CVE-2014-1378

  • IOReporting

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Pengguna lokal dapat mengakibatkan sistem tiba-tiba dimulai ulang

    Deskripsi: Pengaksesan alamat penunjuk null muncul saat menangani argumen IOKit API. Masalah ini telah diatasi melalui validasi tambahan argumen IOKit API.

    CVE-ID

    CVE-2014-1355 : cunzhang dari Adlab di Venustech

  • launchd

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kekurangan buffer bilangan bulat muncul di launchd. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1359 : Ian Beer dari Google Project Zero

  • launchd

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Tumpukan kelebihan buffer muncul saat launchd menangani pesan IPC. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1356 : Ian Beer dari Google Project Zero

  • launchd

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Tumpukan kelebihan buffer muncul saat launchd menangani pesan catatan. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1357 : Ian Beer dari Google Project Zero

  • launchd

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Kelebihan buffer bilangan bulat muncul di launchd. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1358 : Ian Beer dari Google Project Zero

  • Driver Grafis

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah pengaksesan alamat null muncul di driver grafis kernel. File dapat dieksekusi 32 bit perusak yang berbahaya mungkin telah memperoleh hak istimewa lebih tinggi.

    CVE-ID

    CVE-2014-1379 : Ian Beer dari Google Project Zero

  • Keamanan - Rantai Kunci

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Penyerang mungkin dapat mengetik di jendela di bawah kunci layar

    Deskripsi: Dalam situasi yang jarang terjadi, kunci layar tidak mengganggu ketukan tombol. Hal ini dapat mengakibatkan penyerang mengetik di jendela di bagian kunci layar. Masalah ini telah diatasi melalui pengelolaan pengintai ketukan tombol.

    CVE-ID

    CVE-2014-1380 : Ben Langfeld dari Mojo Lingo LLC

  • Keamanan - Transpor Aman

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Memori dua bita dapat terungkap kepada penyerang dari jarak jauh

    Deskripsi: Masalah akses memori yang tidak diinisialisasi muncul saat menangani pesan DTLS di koneksi TLS. Masalah ini telah diatasi dengan hanya menerima pesan DTLS di koneksi DTLS.

    CVE-ID

    CVE-2014-1361 : Thijs Alkemade dari The Adium Project

  • Thunderbolt

    Tersedia untuk: OS X Mavericks 10.9 hingga 10.9.3

    Dampak: Aplikasi jahat mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah akses memori di luar batas muncul saat menangani panggilan IOThunderBoltController API. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1381 : Catherine aka winocm

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: