Mengenai konten keamanan OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004
Dokumen ini menjelaskan konten keamanan OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004.
Pembaruan ini dapat diunduh dan diinstal menggunakan Pembaruan Perangkat Lunak atau dari situs web Dukungan Apple.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi tentang Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, buka halaman Pembaruan Keamanan Apple.
Catatan: OS X Mavericks v10.9.5 menyertakan konten keamanan Safari 7.0.6.
OS X Mavericks v10.9.5 dan Pembaruan Keamanan 2014-004
apache_mod_php
Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4
Dampak: Beberapa kerentanan di PHP 5.4.24
Deskripsi: Terdapat beberapa kerentanan di PHP 5.4.24, yang paling serius dapat mengakibatkan eksekusi kode arbitrer. Pembaruan ini mengatasi masalah tersebut dengan memperbarui PHP ke versi 5.4.30
CVE-ID
CVE-2013-7345
CVE-2014-0185
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-1943
CVE-2014-2270
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3515
CVE-2014-3981
CVE-2014-4049
Bluetooth
Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi masalah validasi saat menangani panggilan Bluetooth API. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4390: Ian Beer dari Google Project Zero
CoreGraphics
Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4
Dampak: Membuka file PDF perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau pengungkapan informasi
Deskripsi: Terjadi pembacaan memori di luar batas saat menangani file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4378: Felipe Andres Manzano dari Binamuse VRT bekerja sama dengan iSIGHT Partners GVP Program
CoreGraphics
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Membuka gambar PDF perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi kelebihan bilangan bulat saat menangani file PDF. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4377 : Felipe Andres Manzano dari Binamuse VRT bekerja sama dengan iSIGHT Partners GVP Program
Foundation
Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang menggunakan NSXMLParser dapat disalahgunakan untuk mengungkapkan informasi
Deskripsi: Terjadi masalah Entitas Eksternal XML saat NSXMLParser menangani XML. Masalah ini telah diatasi dengan tidak memuat entitas eksternal di sumber.
CVE-ID
CVE-2014-4374: George Gal dari VSR (http://www.vsecurity.com/)
Intel Graphics Driver
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Menyusun shader GLSL yang tidak tepercaya mungkin dapat menyebabkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi kelebihan buffer ruang pengguna di pengompilasi shader. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4393: Apple
Intel Graphics Driver
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi beberapa masalah validasi dalam beberapa rutinitas driver grafis terintegrasi. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2014-4394: Ian Beer dari Google Project Zero
CVE-2014-4395: Ian Beer dari Google Project Zero
CVE-2014-4396: Ian Beer dari Google Project Zero
CVE-2014-4397: Ian Beer dari Google Project Zero
CVE-2014-4398: Ian Beer dari Google Project Zero
CVE-2014-4399: Ian Beer dari Google Project Zero
CVE-2014-4400: Ian Beer dari Google Project Zero
CVE-2014-4401: Ian Beer dari Google Project Zero
CVE-2014-4416: Ian Beer dari Google Project Zero
IOAcceleratorFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi masalah deferensi penunjuk null saat menangani argumen IOKit API. Masalah ini telah diatasi dengan peningkatan validasi argumen IOKit API.
CVE-ID
CVE-2014-4376: Ian Beer dari Google Project Zero
IOAcceleratorFamily
Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi masalah pembacaan di luar batas saat menangani fungsi IOAcceleratorFamily. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4402: Ian Beer dari Google Project Zero
IOHIDFamily
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Pengguna lokal dapat membaca penunjuk kernel, yang dapat digunakan untuk melewati pengacakan tata letak ruang alamat kernel
Deskripsi: Terjadi masalah pembacaan di luar batas saat menangani fungsi IOHIDFamily. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4379: Ian Beer dari Google Project Zero
IOKit
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi masalah validasi dalam penanganan bidang metadata tertentu dari objek IODataQueue. Masalah ini telah diatasi melalui validasi metadata yang ditingkatkan.
CVE-ID
CVE-2014-4388: @PanguTeam
IOKit
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Terjadi kelebihan bilangan bulat saat menangani fungsi IOKit. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4389: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: OS X Mavericks v10.9 sampai v10.9.4
Dampak: Pengguna lokal dapat menduga alamat kernel dan melewati pengacakan tata letak ruang alamat kernel
Deskripsi: Dalam beberapa kasus, Tabel Deskriptor Global CPU dialokasikan pada alamat yang dapat diprediksi. Masalah ini telah diatasi dengan selalu mengalokasikan Tabel Deskriptor Global di alamat acak.
CVE-ID
CVE-2014-4403: Ian Beer dari Google Project Zero
Libnotify
Tersedia untuk: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: App yang berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa root
Deskripsi: Terjadi masalah penulisan di luar batas di Libnotify. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan
CVE-ID
CVE-2014-4381: Ian Beer dari Google Project Zero
OpenSSL
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Beberapa kerentanan di OpenSSL 0.9.8y, termasuk yang dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Terjadi beberapa kerentanan di OpenSSL 0.9.8y. Pembaruan ini telah diatasi dengan memperbarui OpenSSL ke versi 0.9.8za.
CVE-ID
CVE-2014-0076
CVE-2014-0195
CVE-2014-0221
CVE-2014-0224
CVE-2014-3470
QT Media Foundation
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah kerusakan memori saat menangani file film dengan enkode RLE. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-1391: Fernando Munoz yang bekerja sama dengan iDefense VCP, Tom Gallagher & Paul Bates yang bekerja sama dengan Zero Day Initiative dari HP
QT Media Foundation
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Memutar file MIDI perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi kelebihan buffer saat menangani file MIDI. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4350: s3tm3m yang bekerja sama dengan Zero Day Initiative dari HP
QT Media Foundation
Tersedia untuk: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks v10.9 hingga v10.9.4
Dampak: Memutar file film perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kerusakan memori saat menangani atom 'mvhd'. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2014-4979: Andrea Micalizzi aka rgod yang bekerja sama dengan Zero Day Initiative dari HP
ruby
Tersedia untuk: OS X Mavericks v10.9 hingga v10.9.4
Dampak: Penyerang jarak jauh mungkin dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Terjadi tumpukan kelebihan buffer saat LibYAML menangani karakter yang dikodekan dengan persentase di URI. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan. Pembaruan ini mengatasi masalah tersebut dengan memperbarui LibYAML ke versi 0.1.6
CVE-ID
CVE-2014-2525
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.