Tentang konten keamanan OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004

Dokumen ini menjelaskan konten keamanan OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004.

Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak atau dari situs web Dukungan Apple.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi mengenai Tombol PGP Keamanan Produk Apple, baca Cara menggunakan Tombol PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

Catatan: OS X Mavericks v10.9.5 meliputi konten keamanan Safari 7.0.6.

OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004

  • apache_mod_php

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Beberapa kerentanan dalam PHP 5.4.24

    Deskripsi: Beberapa kerentanan muncul dalam PHP 5.4.24, yang paling serius mungkin telah mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah-masalah tersebut dengan memperbarui PHP ke versi 5.4.30

    CVE-ID

    CVE-2013-7345

    CVE-2014-0185

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-1943

    CVE-2014-2270

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3515

    CVE-2014-3981

    CVE-2014-4049

  • Bluetooth

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah validasi muncul saat menangani panggilan API Bluetooth. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4390 : Ian Beer dari Google Project Zero

  • CoreGraphics

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau pengungkapan informasi

    Deskripsi: Masalah pembacaan memori di luar batas muncul saat menangani file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4378 : Felipe Andres Manzano dari Binamuse VRT bekerja sama dengan iSIGHT Partners GVP Program

  • CoreGraphics

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan bilangan bulat muncul saat menangani file PDF. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4377 : Felipe Andres Manzano dari Binamuse VRT bekerja sama dengan iSIGHT Partners GVP Program

  • Foundation

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang menggunakan NSXMLParser dapat disalahgunakan untuk mengungkapkan informasi

    Deskripsi: Masalah Entitas Eksternal XML muncul saat NSXMLParser menangani XML. Masalah ini telah diatasi dengan tidak memuat entitas eksternal di sumber.

    CVE-ID

    CVE-2014-4374 : George Gal dari VSR (http://www.vsecurity.com/)

  • Driver Intel Graphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Pengumpulan shader GLSL tidak dipercaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbriter.

    Deskripsi: Kelebihan buffer ruang pengguna terjadi dalam pengumpul shader. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4393 : Apple

  • Driver Intel Graphics

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Beberapa masalah validasi muncul dalam beberapa tindakan rutin driver grafis terintegrasi. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas-batas.

    CVE-ID

    CVE-2014-4394 : Ian Beer dari Google Project Zero

    CVE-2014-4395 : Ian Beer dari Google Project Zero

    CVE-2014-4396 : Ian Beer dari Google Project Zero

    CVE-2014-4397 : Ian Beer dari Google Project Zero

    CVE-2014-4398 : Ian Beer dari Google Project Zero

    CVE-2014-4399 : Ian Beer dari Google Project Zero

    CVE-2014-4400 : Ian Beer dari Google Project Zero

    CVE-2014-4401 : Ian Beer dari Google Project Zero

    CVE-2014-4416 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Dereferensi penunjuk null muncul saat menangani argumen IOKit API. Masalah ini telah diatasi melalui peningkatan validasi argumen IOKit API.

    CVE-ID

    CVE-2014-4376 : Ian Beer dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah pembacaan di luar batas muncul saat menangani fungsi IOAcceleratorFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4402 : Ian Beer dari Google Project Zero

  • IOHIDFamily

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk memintas pengacakan tata letak ruang alamat kernel

    Penjelasan: Masalah pembacaan di luar batas muncul saat menangani fungsi IOHIDFamily. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4379 : Ian Beer dari Google Project Zero

  • IOKit

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Masalah validasi muncul saat menangani kolom metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.

    CVE-ID

    CVE-2014-4388 : @PanguTeam

  • IOKit

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Penjelasan: Kelebihan bilangan bulat muncul saat menangani fungsi IOKit. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4389 : Ian Beer dari Google Project Zero

  • Kernel

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Pengguna lokal dapat menduga alamat kernel dan memintas pengacakan tata letak ruang alamat kernel.

    Deskripsi: Dalam beberapa kasus, CPU Global Descriptor Table dialokasikan di alamat yang mudah ditebak. Masalah ini diatasi dengan selalu meletakkan Global Descriptor Table di alamat acak.

    CVE-ID

    CVE-2014-4403 : Ian Beer dari Google Project Zero

  • Libnotify

    Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sumber

    Penjelasan: Masalah penulisan di luar batas muncul di Libnotify. Masalah ini telah diatasi melalui peningkatan pemeriksaan batas

    CVE-ID

    CVE-2014-4381 : Ian Beer dari Google Project Zero

  • OpenSSL

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Beberapa kerentanan di OpenSSL 0.9.8y, termasuk kerentanan yang dapat mengakibatkan eksekusi kode arbiter.

    Deskripsi: Beberapa kerentanan mucul di OpenSSL 0.9.8y. Pembaruan ini diatasi dengan memperbarui OpenSSL ke versi 0.9.8za.

    CVE-ID

    CVE-2014-0076

    CVE-2014-0195

    CVE-2014-0221

    CVE-2014-0224

    CVE-2014-3470

  • QT Media Foundation

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi saat menangani file film berkode RLE. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-1391 : Fernando Munoz bekerja sama dengan iDefense VCP, Tom Gallagher & Paul Bates bekerja sama dengan Zero Day Initiative dari HP

  • QT Media Foundation

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Memutar file MIDI perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Kelebihan buffer muncul saat menangani file MIDI. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4350 : s3tm3m bekerja dengan sama dengan Zero Day Initiative dari HP

  • QT Media Foundation

    Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat menangani file atom 'mvhd'. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2014-4979 : Andrea Micalizzi alias rgod bekerja sama dengan Zero Day Initiative dari HP

  • ruby

    Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4

    Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Tumpukan kelebihan buffer terjadi di LibYAML saat menangani karakter persen terkode dalam URI. Masalah ini telah diatasi dengan peningkatan pemeriksaan batas. Pembaruan ini mengatasi masalah-masalah tersebut dengan memperbarui LibYAML ke versi 0.1.6

    CVE-ID

    CVE-2014-2525

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: