نبذة حول محتوى الأمان للإصدار 10.8.3 من نظام التشغيل OS X Mountain Lion و"تحديث الأمان" 2013-001

يتناول هذا المستند محتوى أمان الإصدار 10.8.3 من نظام التشغيل OS X Mountain Lion و"تحديث الأمان" 2013-001.

يمكن تنزيل نظام التشغيل OS X Mountain Lion الإصدار 10.8.3 وتحديث الأمان 2013-001 وتثبيته عبر تفضيلات تحديث البرامج، أو عبر تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان، أو تناقشها، أو تؤكدها لحين إجراء استقصاء كامل، مع توفير أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتمّ استخدام معرفات CVE للإشارة إلى نقاط الضعف للحصول على المزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple".

ملاحظة: يتضمن نظام التشغيل OS X Mountain Lion الإصدار 10.8.3 محتوى Safari 6.0.3. للحصول على المزيد من المعلومات، راجع نبذة عن محتوى الأمان في Safari 6.0.3.

الإصدار 10.8.3 من نظام التشغيل OS X Mountain Lion وتحديث الأمان 2013-001

  • Apache

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: يمكن أن يتمكّن المخترق من الوصول إلى الدلائل المحمية من خلال مصادقة HTTP دون معرفة بيانات الاعتماد الصحيحة.

    الوصف: توجد مشكلة في التوافق عند معالجة عناوين URI بتتابع رموز Unicode غير المعلومة. تمت معالجة هذه المشكلة بتحديث mod_hfs_apple إلى دخول محظور لعناوين URI ذات تتابع رموز Unicode غير المعلومة.

    CVE-ID

    CVE-2013-0966 : Clint Ruoho من Laconic Security

  • CoreTypes

    متوفر لأنظمة التشغيل: OS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: تؤدي زيارة موقع ويب ضار إلى تشغيل تطبيق Java Web Start تلقائيًا حتى في حالة تعطيل المكون الإضافي Java.

    الوصف: يبدأ تشغيل تطبيقات Java Web Start حتى في حالة تعطيل المكون الإضافي Java. تمت معالجة هذه المشكلة بإزالة ملفات JNLP من قائمة نوع ملفات الأمان CoreTypes، وبهذا لن يتم تشغيل تطبيق Web Start ما لم يفتحه المستخدم دليل التنزيلات.

    CVE-ID

    CVE-2013-0967

  • المكونات الدولية لـ Unicode

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: قد يؤدي الانتقال إلى موقع ويب ضار إلى اختراق النص البرمجي على مستوى الموقع

    الوصف: وجدت مشكلة متعلقة بالتوحيد القياسي أثناء معالجة تشفير EUC-JP، الأمر الذي كان يؤدي إلى اختراق النصوص البرمجية على مستوى الموقع على المواقع التي تستخدم تشفير EUC-JP. وقد تمّ التصدي لهذه المشكلة عن طريق تحديث جدول تعيين EUC-JP.

    CVE-ID

    CVE-2011-3058 : Masato Kinugawa

  • خدمات الهوية

    متوفر لأنظمة التشغيل: OS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: قد يتمّ تجاوز المصادقة المعتمدة على مصادقة معرّف Apple ID المستندة إلى الشهادة

    الوصف: وُجدت مشكلة تتعلق بالمعالجة في "خدمات الهوية". فإذا أخفق التحقق من صحة شهادة AppleID للمستخدم، فيعني ذلك أنه تمّ افتراض أن السلسلة الخالية تمثل AppleID. فإذا تعرّضت العديد من الأنظمة التي تتبع مستخدمين مختلفين لهذه الحالة، فقد يتم خطأً تمديد الثقة في التطبيقات التي تعتمد على هذا النوع من تحديد الهوية. تمّ التصدي لهذه المشكلة بالتأكد من تلقي NULL (قيمة خالية) بدلاً من أي سلسلة فارغة.

    CVE-ID

    CVE-2013-0963

  • ImageIO

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: قد يؤدي عرض ملف TIFF ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية

    الوصف: وجود تجاوز سعة المخزن المؤقت للذاكرة المؤقتة خلال معالجة libtiff لصور TIFF. تمّ التصدي لهذه المشكلة من خلال التحقق الإضافي من صحة صور TIFF.

    CVE-ID

    CVE-2012-2088

  • IOAcceleratorFamily

    متوفر لنظام التشغيل: OS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: يؤدي عرض صورة ضارة إلى إنهاء غير متوقع للنظام أو تنفيذ إجباري لتعليمة برمجية

    الوصف: وجدت مشكلة تلف الذاكرة عند معالجة البيانات الرسومية. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2013-0976 : باحث غير معلوم الهوية

  • Kernel

    متوفر لنظام التشغيل: OS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: يمكن للتطبيقات الضارة أو المتطفلة أن تحدد العناوين في نموذج kernel

    الوصف: وجدت مشكلة كشف عن معلومات عند معالجة عناوين API المرتبطة بامتدادات نموذج kernel. قد تُضاف عناوين kernel في مفتاح OSBundleMachOHeaders، مما يساعد في تجاوز الحماية العشوائية لتخطيط مساحة العنوان. وتمت معالجة هذه المشكلة بعدم تحريك العناوين قبل إعادتها.

    CVE-ID

    CVE-2012-3749 : Mark Dowd من Azimuth Security، وEric Monti من Square، وباحثون آخرون مجهولو الهوية

  • نافذة تسجيل الدخول

    متوفر لنظام التشغيل: OS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: يمكن لمخترق يمكنه الوصول إلى لوحة المفاتيح أن يُعدل تكوين النظام

    الوصف: وُجد خطأ منطقي في معالجة VoiceOver لتسجيل دخول Login Window، ومن ثم يمكن للمتطفل الوصول إلى لوحة المفاتيح وتشغيل تفضيلات النظام وتعديل تكوين النظام. تمت معالجة هذه المشكلة بمنع VoiceOver من تشغيل التطبيقات عند تسجيل دخول Login Window.

    CVE-ID

    CVE-2013-0969 : Eric A. Schulman من Purpletree Labs

  • الرسائل

    متوفر لنظام التشغيل: OS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: يؤدي النقر على رباط من "الرسائل" إلى بدء اتصال "FaceTime" دون أمر

    الوصف: يؤدي النقر على عنوان FaceTime:// URL مخصص في الرسائل إلى تجاوز أمر التكوين القياسي. تمت معالجة هذه المشكلة بالتحقق الإضافي من عناوين FaceTime:// URL.

    CVE-ID

    CVE-2013-0970 : Aaron Sigel من vtty.com

  • سيرفر الرسائل

    متوفر لأنظمة التشغيل: Mac OS X Server الإصدار 10.6.8، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: يمكن لمخترق عن بُعد إعادة توجيه رسائل Jabber الموحدة

    الوصف: وجدت مشكلة في معالجة خادم Jabber لرسائل نتائج إعادة الاتصال. يمكن أن يتسبب المخترق في كشف خادم Jabber للمعلومات الموجهة لمستخدمي الخوادم الموحدة. تمت معالجة هذه المشكلة بتحسين معالجة رسائل نتيجة إعادة الاتصال.

    CVE-ID

    CVE-2012-3525

  • PDFKit

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: قد يؤدي عرض ملف PDF متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية

    الوصف: استخدام بعد التخلص من مشكلة وُجدت في معالجة التسميات التوضيحيحة في ملفات PDF. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.

    CVE-ID

    CVE-2013-0971 : Tobias Klein يعمل مع HP TippingPoint في مبادرة Zero Day Initiative

  • Podcast Producer Server

    متوفر لأنظمة التشغيل: Mac OS X Server الإصدار 10.6.8، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت مشكلة نوعية في معالجة Rails لمعاملات XML. تمت معالجة هذه المشكلة بتعطيل معاملات XML في تنفيذ Rails المستخدم في Podcast Producer Server.

    CVE-ID

    CVE-2013-0156

  • Podcast Producer Server

    متوفر لنظام التشغيل: OS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت مشكلة نوعية في معالجة Rails لبيانات JSON. تمت معالجة هذه المشكلة بالتحويل باستخدام JSONGem المدعوم لتحليل JSON في تنفيذ Rails المستخدم في Podcast Producer Server.

    CVE-ID

    CVE-2013-0333

  • PostgreSQL

    متوفر لأنظمة التشغيل: Mac OS X Server الإصدار 10.6.8، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: نقاط ضعف متعددة في PostgreSQL

    الوصف: تم تحديث PostgreSQL إلى الإصدار 9.1.5 لمعالجة نقاط الضعف المتعددة، وكان أخطرها يسمح لمستخدمي قواعد البيانات بقراءة الملفات من نظام الملفات صاحب الامتيازات لحساب دور خادم قواعد البيانات. تتوفر المزيد من المعلومات عبر موقع ويب PostgreSQL على الرابط http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    CVE-ID

    CVE-2012-3488

    CVE-2012-3489

  • مدير ملف التعريف

    متوفر لنظام التشغيل: OS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت مشكلة نوعية في Ruby في معالجة Rails لمعاملات XML. تمت معالجة هذه المشكلة بتعطيل معاملات XML في تطبيق Rails المستخدم في Profile Manager.

    CVE-ID

    CVE-2013-0156

  • QuickTime

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: قد يؤدي عرض ملف فيلم متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية

    الوصف: وجدت مشكلة تجاوز سعة المخزن المؤقت خلال معالجة مربعات "rnet" في ملفات MP4. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2012-3756 : Kevin Szkudlapski من QuarksLab

  • Ruby

    متوفر لنظام : Mac OS X Server الإصدار 10.6.8

    التأثير: يمكن لمخترق عن بُعد أن يتسبب في تشغيل إجباري لتعليمة برمجية أثناء تشغيل تطبيق Rails

    الوصف: وجدت مشكلة نوعية Ruby في معالجة Rails لمعاملات XML. تمت معالجة هذه المشكلة بتعطيل YAML والرموز في معاملات XML في Rails.

    CVE-ID

    CVE-2013-0156

  • الأمان

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    التأثير: قد يتمكّن مخترق ذو امتيازات في الشبكة من التقاط بيانات اعتماد المستخدم أو غير ذلك من المعلومات الحساسة

    الوصف: تمّ إصدار العديد من شهادات CA المتوسطة بطريق الخطأ من خلال TURKTRUST. وقد يتيح هذا الأمر لمخترق متسلل إعادة توجيه الاتصالات واعتراض بيانات اعتماد المستخدم أو غيرها من المعلومات الحساسة. وقد تمّ التصدي لهذه المشكلة من خلال عدم السماح بشهادات SSL الغير صحيحة.

  • مُحدّث البرامج

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار 10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: قد يتمكن مخترق ذو امتيازات في الشبكة من تنفيذ تعليمة برمجية عشوائية

    الوصف: سمح تحديث البرنامج لمخترق متسلسل بإدراج محتوى مكون إضافي في نص التسويق المعروض في التحديثات. قد يسمح ذلك باستغلال المكون الإضافي الضعيف، أو يُسهل هجمات الهندسة الاجتماعية التي تتضمن استخدام المكونات الإضافية. ولا تؤثر هذه المشكلة على أنظمة OS X Mountain Lion. تمت معالجة هذه المشكلة بمنع تحميل المكونات الإضافية في النصوص التسويقية في تحديث البرامج في عرض WebView.

    CVE-ID

    CVE-2013-0973 : Emilio Escobar

  • Wiki Server

    متوفر لنظام التشغيل: OS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت مشكلة نوعية Ruby في معالجة Rails لمعاملات XML. تمت معالجة هذه المشكلة بتعطيل معاملات XML في تنفيذ Rails المستخدم في Wiki Server.

    CVE-ID

    CVE-2013-0156

  • Wiki Server

    متوفر لنظام التشغيل: OS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5

    التأثير: قد يتمكن متطفل عن بُعد من تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت مشكلة نوعية في Ruby في معالجة Rails لبيانات JSON. تمت معالجة هذه المشكلة بالتحول إلى استخدام JSONGem المدعوم لتحليل JSON في تطبيق Rails المستخدم في Wiki Server.

    CVE-ID

    CVE-2013-0333

  • إزالة البرامج الضارة

    متوفر لأنظمة التشغيل: Mac OS X الإصدار 10.6.8، وMac OS X Server الإصدار10.6.8، وOS X Lion الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Lion Server الإصدار 10.7 إلى الإصدار 10.7.5، وOS X Mountain Lion الإصدار 10.8 إلى الإصدار 10.8.2

    الوصف: يقوم هذا التحديث بتشغيل أداة إزالة البرامج الضارة التي ستعمل على إزالة المتغيرات الأكثر شيوعًا للبرامج الضارة. وإذا تم العثور على برامج ضارة، فسيظهر مربع حوار لإعلان المستخدم بإزالة البرامج الضارة. وإذا لم يتم العثور على أي برامج ضارة، فلن يتم إخطار المستخدم.

لا يتوفر FaceTime في جميع البلدان أو المناطق.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: