Mengenai konten keamanan Safari 5.1 dan Safari 5.0.6
Dokumen ini menjelaskan konten keamanan Safari 5.1 dan Safari 5.0.6. Safari 5.1 disertakan dengan OS X Lion.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk informasi tentang Kunci PGP Keamanan Produk Apple, baca “Cara menggunakan Kunci PGP Keamanan Produk Apple.”
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca “Pembaruan Keamanan Apple”.
Safari 5.1 dan Safari 5.0.6
CFNetwork
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan serangan penulisan skrip lintas situs
Deskripsi: Dalam situasi tertentu, Safari mungkin memperlakukan sebuah file sebagai HTML, meskipun disajikan dengan tipe konten ‘text/plain’. Hal ini dapat mengakibatkan serangan penulisan skrip lintas situs yang memungkinkan pengguna tidak tepercaya memposting file teks. Masalah ini diatasi melalui penanganan konten ‘text/plain’ yang ditingkatkan.
CVE-ID
CVE-2010-1420: Hidetake Jo dari Microsoft Vulnerability Research (MSVR), Neal Poole dari Matasano Security
CFNetwork
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengautentikasi ke situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Protokol autentikasi NTLM rentan terhadap serangan pemutaran ulang yang disebut sebagai refleksi kredensial. Mengautentikasi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer. Untuk mengatasi masalah ini, Safari telah diperbarui untuk memanfaatkan mekanisme perlindungan yang baru-baru ini ditambahkan ke Windows. Masalah ini tidak memengaruhi sistem Mac OS X.
CVE-ID
CVE-2010-1383: Takehiro Takahashi dari IBM X-Force Research
CFNetwork
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Sertifikat root yang dinonaktifkan mungkin masih dipercaya
Deskripsi: CFNetwork tidak memvalidasi dengan benar bahwa sertifikat dipercaya untuk digunakan oleh server SSL. Akibatnya, jika pengguna telah menandai suatu sertifikat root sebagai tidak tepercaya, Safari masih akan menerima sertifikat yang ditandatangani oleh root tersebut. Masalah ini diatasi melalui validasi sertifikat yang lebih baik. Masalah ini tidak memengaruhi sistem Mac OS X.
CVE-ID
CVE-2011-0214: pelapor anonim
ColorSync
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Melihat gambar perusak yang berbahaya dengan profil ColorSync yang disematkan dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan bilangan bulat dalam penanganan gambar dengan profil ColorSync yang disematkan, yang dapat menyebabkan kelebihan tumpukan buffer. Membuka gambar perusak yang berbahaya dengan profil ColorSync tersemat dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2011-004.
CVE- ID
CVE-2011-0200: binaryproof yang bekerja sama dengan Zero Day Initiative dari TippingPoint
CoreFoundation
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Aplikasi yang menggunakan kerangka CoreFoundation mungkin rentan terhadap penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kelebihan buffer satu per satu saat menangani CFStrings. Aplikasi yang menggunakan bingkai CoreFoundation dapat menjadi rentan terhadap penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8.
CVE-ID
CVE-2011-0201: Harry Sintonen
CoreGraphics
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Membuka file PDF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kelebihan bilangan bulat dalam penanganan font Tipe 1. Membuka atau mengunduh dokumen yang berisi font tersemat perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2011-004.
CVE-ID
CVE-2011-0202: Cristian Draghici dari Modulo Consulting, Felix Grobert dari Tim Keamanan Google
International Components for Unicode
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Aplikasi yang menggunakan ICU mungkin rentan terhadap penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah kelebihan buffer saat menangani string huruf besar. Aplikasi yang menggunakan ICU dapat menjadi rentan terhadap penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8.
CVE-ID
CVE-2011-0206: David Bienvenu dari Mozilla
ImageIO
Tersedia untuk: Windows 7, Vista, XP SP2, atau versi lebih baru
Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan tumpukan buffer saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2011-004.
CVE-ID
CVE-2011-0204: Dominic Chell dari NGS Secure
ImageIO
Tersedia untuk: Windows 7, Vista, XP SP2, atau versi lebih baru
Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan buffer saat ImageIO menangani gambar TIFF yang dikodekan CCITT Grup 4. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.
CVE-ID
CVE-2011-0241: Cyril CATTIAUX dari Tessi Technologies
ImageIO
Tersedia untuk: Windows 7, Vista, XP SP2, atau versi yang lebih baru
Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah reentrancy saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Masalah ini tidak memengaruhi sistem Mac OS X.
CVE-ID
CVE-2011-0215: Juan Pablo Lopez Yacubian bekerja sama dengan iDefense VCP
ImageIO
Tersedia untuk: Windows 7, Vista, XP SP2, atau versi lebih baru
Dampak: Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan tumpukan buffer saat ImageIO menangani gambar TIFF. Menampilkan gambar TIFF perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2011-004.
CVE-ID
CVE-2011-0204: Dominic Chell dari NGS Secure
libxslt
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengungkapan alamat di tumpukan
Deskripsi: Implementasi libxslt terhadap fungsi generate-id() XPath mengungkapkan alamat tumpukan buffer. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan terungkapnya alamat di tumpukan. Masalah ini diatasi dengan membuat ID berdasarkan perbedaan antara alamat kedua tumpukan buffer. Untuk sistem Mac OS X v10.6, masalah ini diatasi di Mac OS X v10.6.8. Untuk sistem Mac OS X v10.5, masalah ini diatasi di Pembaruan Keamanan 2011-004.
CVE-ID
CVE-2011-0195: Chris Evans dari Tim Keamanan Google Chrome
libxml
Tersedia untuk: Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat kelebihan tumpukan buffer satu bita saat libxml menangani data XML. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.
CVE-ID
CVE-2011-0216: Billy Rios dari Google Security Team
Safari
Tersedia untuk: Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Jika fitur “Formulir web Isi-Auto” diaktifkan, mengunjungi situs web perusak yang berbahaya dan mengetik dapat menyebabkan pengungkapan informasi dari Buku Alamat pengguna
Deskripsi: Fitur “Formulir web Isi-Auto” mengisi kolom formulir yang tidak terlihat, dan informasi dapat diakses oleh skrip di situs sebelum pengguna mengirimkan formulir. Masalah ini telah ditangani dengan menampilkan bidang yang akan diisi dan meminta persetujuan pengguna sebelum informasi Isi-Auto tersedia untuk formulir.
CVE-ID
CVE-2011-0217: Florian Rienhardt dari BSI, Alex Lambert, Jeremiah Grossman
Safari
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terdapat masalah lintas sumber dalam penanganan Applet Java. Hal ini berlaku saat Java diaktifkan di Safari dan dikonfigurasikan untuk berjalan di dalam proses browser. Font yang dimuat oleh suatu applet Java dapat memengaruhi tampilan konten teks dari situs lain. Masalah ini diatasi dengan menjalankan applet Java dalam proses terpisah.
CVE-ID
CVE-2011-0219: Joshua Smith dari Kaon Interactive
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori muncul di WebKit. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer.
CVE-ID
CVE-2010-1823: David Weston dari Microsoft and Microsoft Vulnerability Research (MSVR), wushi dari team509, dan Yong Li dari Research In Motion Ltd
CVE-2011-0164: Apple
CVE-2011-0218: SkyLined dari Tim Keamanan Google Chrome
CVE-2011-0221: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome
CVE-2011-0222: Nikita Tarakanov dan Alex Bazhanyuk dari CISS Research Team, dan Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome
CVE-2011-0223: Jose A. Vazquez dari spa-s3c.blogspot.com yang bekerja dengan iDefense VCP
CVE-2011-0225: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome
CVE-2011-0232: J23 yang bekerja sama dengan Zero Day Initiative dari TippingPoint
CVE-2011-0233: wushi dari team509 yang bekerja dengan Zero Day Initiative dari TippingPoint
CVE-2011-0234: Rob King yang bekerja sama dengan Zero Day Initiative dari TippingPoint, wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint, wushi dari team509 yang bekerja sama dengan iDefense VCP
CVE-2011-0235: Abhishek Arya (Inferno) dari Tim Keamanan Google Chrome
CVE-2011-0237: wushi dari team509 yang bekerja sama dengan iDefense VCP
CVE-2011-0238: Adam Barth dari Tim Keamanan Google Chrome
CVE-2011-0240: wushi dari team509 yang bekerja sama dengan iDefense VCP
CVE-2011-0253: Richard Keen
CVE-2011-0254: Peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint
CVE-2011-0255: Peneliti anonim yang bekerja sama dengan Zero Day Initiative dari TippingPoint
CVE-2011-0981: Rik Cabanier dari Adobe Systems, Inc
CVE-2011-0983: Martin Barbella
CVE-2011-1109: Sergey Glazunov
CVE-2011-1114: Martin Barbella
CVE-2011-1115: Martin Barbella
CVE-2011-1117: wushi dari team509
CVE-2011-1121: miaubiz
CVE-2011-1188: Martin Barbella
CVE-2011-1203: Sergey Glazunov
CVE-2011-1204: Sergey Glazunov
CVE-2011-1288: Andreas Kling dari Nokia
CVE-2011-1293: Sergey Glazunov
CVE-2011-1296: Sergey Glazunov
CVE-2011-1449: Marek Majkowski, wushi dari team 509 yang bekerja sama dengan iDefense VCP
CVE-2011-1451: Sergey Glazunov
CVE-2011-1453: wushi dari team509 yang bekerja sama dengan Zero Day Initiative dari TippingPoint
CVE-2011-1457: John Knottenbelt dari Google
CVE-2011-1462: wushi dari team509
CVE-2011-1797: wushi dari team509
CVE-2011-3438: wushi dari team509 yang bekerja sama dengan iDefense VCP
CVE-2011-3443: Peneliti anonim yang bekerja sama dengan iDefense VCP
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah konfigurasi ketika WebKit menangani libxslt. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pembuatan file arbitrer dengan hak istimewa pengguna, yang dapat mengakibatkan eksekusi kode arbitrer. Masalah ini diatasi melalui pengaturan keamanan libxslt yang ditingkatkan.
CVE-ID
CVE-2011-1774: Nicolas Gregoire dari Agarri
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Terjadi masalah lintas sumber ketika menangani Web Workers. Mengunjungi situs web perusak yang berbahaya dapat menyebabkan pengungkapan informasi.
CVE-ID
CVE-2011-1190: Daniel Divricean dari divricean.ro
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan serangan penulisan skrip lintas situs
Deskripsi: Terjadi masalah lintas sumber ketika menangani URL dengan nama pengguna yang disematkan. Mengunjungi situs web perusak berbahaya dapat mengakibatkan serangan penulisan skrip lintas situs. Masalah ini telah diatasi melalui peningkatan penanganan URL dengan nama pengguna yang disematkan.
CVE-ID
CVE-2011-0242: Jobert Abma dari Online24
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan serangan penulisan skrip lintas situs
Deskripsi: Terjadi masalah lintas sumber ketika menangani node DOM. Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan serangan penulisan skrip lintas situs.
CVE-ID
CVE-2011-1295: Sergey Glazunov
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Situs web perusak yang berbahaya dapat menyebabkan URL yang berbeda ditampilkan di bar alamat
Deskripsi: Terdapat masalah pemalsuan URL saat menangani objek riwayat DOM. Situs web perusak yang berbahaya dapat menyebabkan URL yang berbeda ditampilkan di bar alamat.
CVE-ID
CVE-2011-1107: Jordi Chancel
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Berlangganan feed RSS perusak yang berbahaya dan mengklik tautan di dalamnya dapat menyebabkan pengungkapan informasi
Deskripsi: Terdapat masalah kanonikalisasi saat menangani URL. Berlangganan feed RSS perusak yang berbahaya dan mengklik tautan di dalamnya dapat menyebabkan file arbitrer dikirim dari sistem pengguna ke server jauh. Pembaruan ini mengatasi masalah tersebut melalui penanganan URL yang ditingkatkan.
CVE-ID
CVE-2011-0244: Jason Hullinger
WebKit
Tersedia untuk: Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 atau versi lebih baru, Mac OS X Server v10.6.8 atau versi lebih baru, Windows 7, Vista, XP SP2 atau versi lebih baru
Dampak: Aplikasi yang menggunakan WebKit, seperti klien email, dapat terhubung ke server DNS arbitrer saat memproses konten HTML
Deskripsi: Pengambilan awal DNS diaktifkan secara default di WebKit. Aplikasi yang menggunakan WebKit, seperti klien email, dapat terhubung ke server DNS arbitrer saat memproses konten HTML. Pembaruan ini mengatasi masalah tersebut dengan mengharuskan aplikasi ikut serta dalam pengambilan awal DNS.
CVE-ID
CVE-2010-3829: Mike Cardwell dari Cardwell IT Ltd.
Penting: Penyebutan situs web dan produk pihak ketiga hanya untuk tujuan informasi dan bukan merupakan dukungan ataupun rekomendasi. Apple tidak bertanggung jawab sehubungan dengan pemilihan, kinerja, atau penggunaan informasi atau produk yang ditemukan di situs web pihak ketiga. Apple menyediakan ini hanya untuk memudahkan pengguna. Apple belum menguji informasi yang ditemukan di situs ini dan tidak membuat representasi mengenai akurasi atau keandalannya. Terdapat risiko yang melekat dalam penggunaan informasi atau produk yang ditemukan di Internet, dan Apple tidak bertanggung jawab dalam hal ini. Harap dipahami bahwa situs pihak ketiga tidak ada kaitannya dengan Apple dan bahwa Apple tidak memiliki kontrol atas konten di situs web tersebut. Silakan hubungi vendor untuk informasi tambahan.