نبذة حول محتوى أمان macOS Sierra 10.12.2، وتحديث الأمان 2016-003 El Capitan، وتحديث الأمان 2016-007 Yosemite
يتناول هذا المستند محتوى أمان نظام التشغيل macOS Sierra 10.12.2، وتحديث الأمان 2016-003 El Capitan، وتحديث الأمان 2016-007 Yosemite.
حول تحديثات أمان Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.
تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.
نظام التشغيل macOS Sierra 10.12.2، وتحديث الأمان 2016-003 El Capitan، وتحديث الأمان 2016-007 Yosemite
apache_mod_php
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتسبب مهاجم عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.
الوصف: وجدت عدة مشاكل في إصدارات PHP الأقدم من 5.6.26. وقد تمت معالجة هذه المشاكل بتحديث PHP إلى الإصدار 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-7609: daybreaker@Minionz يعمل مع مبادرة Zero Day Initiative من Trend Micro
الأصول
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يُعدل مخترق محلي أصول المحمول التي تم تنزيلها
الوصف: وُجدت مشكلة تتعلق بالأذونات في أصول المحمول. وتمت معالجة هذه المشكلة من خلال القيود المحسّنة للوصول.
CVE-2016-7628: Marcel Bresink من Marcel Bresink Software-Systeme
الصوت
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة ملف متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7658: Haohao Kong من Keen Lab (@keen_lab) في Tencent
CVE-2016-7659: Haohao Kong من Keen Lab (@keen_lab) في Tencent
Bluetooth
متوفر لما يلي: macOS Sierra الإصدار 10.12.1، وOS X El Capitan الإصدار 10.11.6، وOS X Yosemite الإصدار 10.10.5
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7596: Pekka Oikarainen وMatias Karhumaa وMarko Laakso من Synopsys Software Integrity Group
Bluetooth
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-7605: daybreaker من Minionz
Bluetooth
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7617: Radu Motspan يعمل مع مبادرة Zero Day من Trend Micro، وIan Beer من Google Project Zero
CoreCapture
متوفر لما يلي: macOS Sierra 10.12.1 وOS X El Capitan الإصدار 10.11.6
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: تمت معالجة مشكلة عدم المرجعية الصفرية للمؤشر من خلال إدارة الحالة المحسّنة.
CVE-2016-7604: daybreaker من Minionz
CoreFoundation
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة السلاسل الضارة إلى إنهاء التطبيق بطريقة غير متوقعة أو تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت مشكلة تتعلق بتلف الذاكرة خلال معالجة السلاسل. وتمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-2016-7663: باحث غير معلوم الهوية
CoreGraphics
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى إنهاء التطبيق بطريقة غير متوقعة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-7627: TRAPMINE Inc. وMeysam Firouzi @R00tkitSMM
CoreMedia External Displays
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن تطبيق محلي من تنفيذ تعليمة برمجية عشوائية في سياق البرنامج الخفي لخادم الوسائط
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7655: Keen Lab يعمل مع مبادرة Zero Day من Trend Micro
CoreMedia Playback
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة ملف .mp4 متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7588: dragonltx من Huawei 2012 Laboratories
CoreStorage
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-7603: daybreaker@Minionz يعمل مع مبادرة Zero Day Initiative من Trend Micro
CoreText
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات الخطوط. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.
CVE-2016-7595: riusksk(泉哥) من Tencent Security Platform Department
CoreText
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة سلسلة متطفّلة ضارة إلى رفض الخدمة
الوصف: وُجدت مشكلة أثناء عرض نطاقات متداخلة وقد تمت معالجتها من خلال التحقق المحسّن من الصحة.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack) وSaif Al-Hinai (welcom_there) من Digital Unit (dgunit.com)
curl
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة
الوصف: وجدت عدة مشاكل في curl. تمت معالجة هذه المشاكل بتحديث إصدار curl إلى 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
خدمات الدليل
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2016-7633: Ian Beer من Google Project Zero
صور القرص
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7616: daybreaker@Minionz يعمل مع مبادرة Zero Day Initiative من Trend Micro
FontParser
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات الخطوط. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.
CVE-2016-4691: riusksk(泉哥) من Tencent Security Platform Department
أساسيات
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن أن يؤدي فتح ملف .gcx متطفّل إلى إنهاء التطبيق بطريقة غير متوقعة أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7618: riusksk(泉哥) من Tencent Security Platform Department
Grapher
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن أن يؤدي فتح ملف .gcx متطفّل إلى إنهاء التطبيق بطريقة غير متوقعة أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7622: riusksk(泉哥) من Tencent Security Platform Department
ICU
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7594: André Bargull
ImageIO
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مهاجم عن بُعد من تسريب محتوى الذاكرة
الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.
CVE-2016-7643: Yangkang (@dnpushme) من فريق Qihoo360 Qex Team
برنامج تشغيل رسومات Intel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7602: daybreaker@Minionz يعمل مع مبادرة Zero Day Initiative من Trend Micro
IOFireWireFamily
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن المخترق المحلي من قراءة ذاكرة kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: تمت معالجة مشكلة الذاكرة المشتركة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7624: Qidan He (@flanker_hqd) من KeenLab working يعمل مع مبادرة Zero Day Initiative من Trend Micro
IOHIDFamily
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن تطبيق محلي يتمتع بامتيازات في النظام من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2016-7591: daybreaker من Minionz
IOKit
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7657: Keen Lab يعمل مع مبادرة Zero Day Initiative من Trend Micro
IOKit
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: تمت معالجة مشكلة الذاكرة المشتركة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7625: Qidan He (@flanker_hqd) من KeenLab يعمل مع مبادرة Zero Day Initiative من Trend Micro
IOKit
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: تمت معالجة مشكلة الذاكرة المشتركة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7714: Qidan He (@flanker_hqd) من KeenLab يعمل مع مبادرة Zero Day Initiative من Trend Micro
IOSurface
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: تمت معالجة مشكلة الذاكرة المشتركة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7620: Qidan He (@flanker_hqd) من KeenLab يعمل مع مبادرة Zero Day Initiative من Trend Micro
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7606: @cocoahuke، Chen Qin من Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة kernel
الوصف: تمت معالجة مشكلة التهيئة غير الكافية من خلال إعادة الذاكرة المهيأة جيدًا إلى مساحة المستخدم.
CVE-2016-7607: Brandon Azad
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: تمت معالجة مشكلة رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7615: مركز National Cyber Security Centre (NCSC) في المملكة المتحدة
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن لمستخدم محلي التسبب في إنهاء غير متوقع للنظام أو تنفيذ تعليمة برمجية عشوائية في kernel
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2016-7621: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7637: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن تطبيق محلي يتمتع بامتيازات في النظام من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.
CVE-2016-7644: Ian Beer من Google Project Zero
Kernel
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة
الوصف: تمت معالجة مشكلة رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7647: Lufeng Li من Qihoo 360 Vulcan Team
أدوات kext
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-7629: @cocoahuke
libarchive
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مخترق محلي من استبدال الملفات الحالية
الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.
CVE-2016-7619: باحث غير معلوم الهوية
LibreSSL
متوفر لما يلي: macOS Sierra 10.12.1 وOS X El Capitan الإصدار 10.11.6
الأثر: قد يتمكن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التسبب في رفض الخدمة
الوصف: تمت معالجة مشكلة رفض الخدمة في نمو OCSP غير المرتبط من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-6304
OpenLDAP
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن المخترق من استغلال نقاط الضعف في خوارزمية تشفير الرسوم RC4
الوصف: تمت إزالة RC4 باعتبارها تشفيرًا افتراضيًا.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن لمستخدم محلي لا يتمتع بأي امتيازات بحق الوصول إلى تطبيقات ذات امتيازات
الوصف: فشلت مصادقة PAM داخل التطبيقات في صندوق الحماية. وتمت معالجة ذلك من خلال معالجة الخطأ المحسّنة.
CVE-2016-7600: Perette Barella من DeviousFish.com
OpenSSL
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت مشكلة تجاوز في MDC2_Update(). تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-6303
OpenSSL
متوفر لما يلي: macOS Sierra 10.12.1
الأثر: قد يتمكن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التسبب في رفض الخدمة
الوصف: تمت معالجة مشكلة رفض الخدمة في نمو OCSP غير المرتبط من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-6304
إدارة الطاقة
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر
الوصف: تمت معالجة مشكلة في مطابقة مراجع اسم المنفذ من خلال المصادقة المحسّنة.
CVE-2016-7661: Ian Beer من Google Project Zero
الأمان
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن أحد المخترقين من استغلال نقطة الضعف في خوارزمية تشفير الرسوم 3DES.
الوصف: تمت إزالة 3DES باعتباره تشفيرًا افتراضيًا.
CVE-2016-4693: Gaëtan Leurenta وKarthikeyan Bhargavan من INRIA Paris
الأمان
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التسبب في رفض للخدمة
الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة عناوين URL للمستجيب في OCSP. وتمت معالجة المشكلة من خلال التحقق من حالة إبطال OCSP بعد التحقق من CA وتقييد عدد طلبات OCSP لكل شهادة.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
الأمان
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: يُمكن تقييم الشهادات بطريقة غير متوقعة بوصفها موثوقة.
الوصف: وُجدت مشكلة في تقييم الشهادة في التحقق من الشهادة. تمت معالجة هذه المشكلة من خلال المصادقة الإضافية للشهادات.
CVE-2016-7662: Apple
syslog
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر
الوصف: تمت معالجة مشكلة في مطابقة مراجع اسم المنفذ من خلال المصادقة المحسّنة.
CVE-2016-7660: Ian Beer من Google Project Zero
Wi-Fi
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يتمكن مستخدم محلي متطفّل من عرض معلومات حساسة خاصة بتكوين الشبكة
الوصف: كان تكوين الشبكة عامًا بشكل غير متوقع. تمت معالجة هذه المشكلة عن طريق نقل تكوين الشبكة الحساس إلى الإعدادات لكل مستخدم.
CVE-2016-7761: Peter Loos، Karlsruhe، ألمانيا
xar
متوفر لما يلي: macOS Sierra 10.12.1
التأثير: قد يؤدي فتح أرشيف متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة استخدام متغير لم تتم تهيئته من خلال التحقق المحسّن من الصحة.
CVE-2016-7742: Gareth Evans من Context Information Security
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.