لقد تمت أرشفة هذا المقال ولم تعد Apple تحدثه.

نبذة عن محتوى أمان لتحديث الأمان 2008-008 / Mac OS X الإصدار 10.5.6

يتناول هذا المستند محتوى الأمان لتحديث الأمان 2008-008 / Mac OS X الإصدار 10.5.6، والذي يمكن تنزيله وتثبيته عبر تفضيلات "تحديث البرامج"، أو من تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.

لمعرفة معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."

تحديث الأمان 2008-008 / Mac OS X الإصدار 10.5.6

  • ATS

    CVE-ID‏: CVE-2008-4236

    متوفر لـ: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يؤدي عرض أو تنزيل ملف PDF يحتوي على خط مضمن متطفل إلى رفض الخدمة

    الوصف: قد تحدث حلقة لا نهائية في معالجة خادم Apple Type Services للخطوط المضمنة في ملفات PDF. قد يؤدي عرض أو تنزيل ملف PDF يحتوي على خط مضمن متطفل إلى رفض الخدمة. يعالج هذا التحديث المشكلة من خلال إجراء التحقق الإضافي من الخطوط المضمنة. لا تؤثر هذه المشكلة على الأنظمة السابقة التي تسبق Mac OS X الإصدار 10.5. الفضل يعود إلى Michael Samarin وMikko Vihonen من شركة Futurice Ltd. للإبلاغ عن هذه المشكلة.

  • BOM

    CVE-ID: CVE-2008-4217

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يؤدي تنزيل أو عرض أرشيف CPIO تم إنشاؤه بشكل متطفل إلى تنفيذ تعليمات برمجية عشوائية أو إنهاء غير متوقع للتطبيق

    الوصف: توجد مشكلة في التوقيع في معالجة BOM لرؤوس CPIO مما قد يؤدي إلى تجاوز سعة المخزن المؤقت للمكدس. قد يؤدي تنزيل أرشيف CPIO أو عرضه بشكل متطفل إلى تنفيذ تعليمات برمجية عشوائية أو إنهاء التطبيق بشكل غير متوقع. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من رؤوس CPIO. يعود الفضل إلى: Apple.

  • CoreGraphics

    CVE-ID‏: CVE-2008-3623

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يؤدي عرض صورة تم إنشاؤها بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد تجاوز سعة المخزن المؤقت للمكدس في معالجة مساحات الألوان داخل CoreGraphics. قد تؤدي عملية عرض صورة متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى: Apple.

  • CoreServices

    CVE-ID‏: CVE-2008-3170

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد تؤدي زيارة موقع ويب تم إنشاؤه بشكل متطفل إلى الكشف عن بيانات اعتماد المستخدم

    الوصف: يسمح سفاري لمواقع الويب بتعيين ملفات تعريف الارتباط لنطاقات المستوى الأعلى الخاصة بكل بلد، مما قد يسمح للمهاجم عن بعد بتنفيذ هجوم تثبيت الجلسة والاستيلاء على بيانات اعتماد المستخدم. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من صحة أسماء النطاقات. يعود الفضل إلى Alexander Clauss من شركة iCab.de للإبلاغ عن هذه المشكلة.

  • CoreTypes

    CVE-ID: CVE-2008-4234

    متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد لا تؤدي محاولة تشغيل محتوى غير آمن تم تنزيله إلى ظهور تحذير

    الوصف: يوفر نظام التشغيل Mac OS X إمكانية التحقق من التنزيل للإشارة إلى الملفات التي يحتمل أن تكون غير آمنة. تستخدم تطبيقات مثل سفاري وغيرها ميزة "التحقق من التنزيل" للمساعدة في تحذير المستخدمين قبل تشغيل الملفات التي تم وضع علامة عليها بأنها قد تكون غير آمنة. يضيف هذا التحديث إلى قائمة الأنواع التي قد تكون غير آمنة. يُضيف هذا التحديث نوع المحتوى للملفات التي تمتلك صلاحيات التنفيذ ولا تحتوي على ارتباط تطبيق محدد. من المحتمل أن تكون هذه الملفات غير آمنة حيث سيتم تشغيلها في الوحدة الطرفية وسيتم تنفيذ محتواها كأوامر. على الرغم من أن هذه الملفات لا يتم تشغيلها تلقائيًا، إلا أنه إذا تم فتحها يدويًا، فقد تؤدي إلى تنفيذ تعليمات برمجية عشوائية. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X.

  • Flash Player Plug-in‏

    CVE-2007-4324‏، CVE-2007-6243‏، CVE-2008-3873‏، CVE-2008-4401‏، CVE-2008-4503‏، CVE-2008-4818‏، CVE-2008-4819‏، CVE-2008-4820‏، CVE-2008-4821‏، CVE-2008-4822‏، CVE-2008-4823‏، CVE-2008-4824‏، CVE-2008-5361‏، CVE-2008-5362‏، CVE-2008-5363

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار v10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: ثغرات أمنية متعددة في المكون الإضافي لبرنامج Adobe Flash Player

    الوصف: توجد مشكلات متعددة في المكون الإضافي لبرنامج Adobe Flash Player، وأخطرها قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية عند عرض موقع ويب تم إنشاؤه بشكل متطفل. تتم معالجة المشكلات عن طريق تحديث المكون الإضافي لبرنامج Flash Player إلى الإصدار 9.0.151.0. يتوفر مزيد من المعلومات عبر موقع Adobe على الويب على http://www.adobe.com/support/security/bulletins/apsb08-20.html

  • Kernel

    CVE-ID‏: CVE-2008-4218

    متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يحصل مستخدم محلي على امتيازات النظام

    الوصف: توجد مشكلات تتعلق بتجاوز عدد صحيح داخل استدعاءات نظام i386_set_ldt وi386_get_ldt، مما قد يسمح بذلك مستخدم محلي لتنفيذ تعليمات برمجية عشوائية بامتيازات النظام. يعالج هذا التحديث المشكلات من خلال التحقق المحسن من الحدود. هذه المشكلات لا تؤثر على أنظمة PowerPC. يعود الفضل إلى Richard van Eeden من شركة IOActive, Inc. للإبلاغ عن هذه المشكلات.

  • Kernel

    CVE-ID‏: CVE-2008-4219

    متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: تشغيل ملف قابل للتنفيذ يربط المكتبات الديناميكية على مشاركة NFS قد يؤدي إلى إيقاف تشغيل غير متوقع للنظام

    الوصف: قد تؤدي حلقة لا نهائية تحدث عندما يتلقى برنامج موجود على مشاركة NFS استثناءً. قد يؤدي ذلك إلى إيقاف تشغيل النظام بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة للاستثناءات. يعود الفضل إلى Ben Loer من جامعة Princeton University للإبلاغ عن هذه المشكلة.

  • Libsystem

    CVE-ID‏: CVE-2008-4220

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد تكون التطبيقات التي تستخدم inet_net_pton API عرضة لتنفيذ تعليمات برمجية عشوائية أو إنهاء غير متوقع للتطبيق

    الوصف: يوجد تجاوز لعدد صحيح في واجهة برمجة التطبيقات inet_net_pton الخاصة بـ Libsystem، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية أو الإنهاء غير المتوقع للتطبيق باستخدام واجهة برمجة التطبيقات. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. لا يتم عادةً استدعاء واجهة برمجة التطبيقات هذه ببيانات غير موثوقة، ولا توجد حالات معروفة لهذه المشكلة يمكن استغلالها. يتم توفير هذا التحديث للمساعدة في تخفيف الهجمات المحتملة ضد أي تطبيق يستخدم واجهة برمجة التطبيقات هذه.

  • Libsystem

    CVE-ID‏: CVE-2008-4221

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد تكون التطبيقات التي تستخدم واجهة برمجة تطبيقات strptime عرضة لتنفيذ تعليمات برمجية عشوائية أو إنهاء غير متوقع للتطبيق

    الوصف: توجد مشكلة تلف في الذاكرة في واجهة برمجة تطبيقات strptime الخاصة بـ Libsystem. قد يؤدي تحليل سلسلة تاريخ تم إنشاؤها بشكل متطفل إلى تنفيذ تعليمات برمجية عشوائية أو إنهاء التطبيق بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال تخصيص الذاكرة المحسّن. يعود الفضل إلى: Apple.

  • Libsystem

    CVE-ID‏: CVE-2008-1391

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد تتعرض التطبيقات التي تستخدم واجهة برمجة تطبيقات strfmon إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: توجد تجاوزات أعداد صحيحة متعددة في تطبيق strfmon الخاص بـ Libsystem. قد يؤدي تطبيق يستدعي strfmon بقيم كبيرة لحقول عددية معينة في وسيطة سلسلة التنسيق إلى إنهاء الخدمة بشكل غير متوقع أو يؤدي إلى تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلات من خلال التحقق المحسن من الحدود.

  • Managed Client

    CVE-ID‏: CVE-2008-4237

    متوفر لما يلي: Mac OS X الإصدار 10.5 إلى v10.5.5، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: لا يتم تطبيق إعدادات شاشة التوقف المُدارة

    الوصف: الطريقة التي يقوم من خلالها البرنامج الموجود على نظام عميل مُدار بتثبيت معلومات التكوين لكل مضيف لا يتعرف دائمًا على النظام بشكل صحيح. في نظام تم التعرف عليه بشكل خطأ، لا يتم تطبيق الإعدادات لكل مضيف، بما في ذلك قفل شاشة التوقف. يعالج هذا التحديث المشكلة من خلال جعل العميل المُدار يستخدم تعريف النظام الصحيح. لا تؤثر هذه المشكلة على الأنظمة التي تحتوي على شبكة إيثرنت مدمجة. يعود الفضل إلى John Barnes من ESRI، وTrevor Lalish-Menagh من شركة Tamman Technologies، Inc. للإبلاغ عن هذه المشكلة.

  • network_cmds

    CVE-ID‏: CVE-2008-4222

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يتمكن مهاجم عن بعد من التسبب في رفض الخدمة في حالة تمكين مشاركة الإنترنت

    الوصف: قد تحدث حلقة لا نهائية في معالجة حزم TCP في natd. من خلال إرسال حزمة TCP متطفلة، قد يتمكن مهاجم بعيد من التسبب في رفض الخدمة في حالة تمكين مشاركة الإنترنت. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من حزم TCP. يعود الفضل إلى Alex Rosenberg من Ohmantics، وGary Teter من Paizo Publishing للإبلاغ عن هذه المشكلة.

  • Podcast Producer

    CVE-ID‏: CVE-2008-4223

    متوفر لما يلي: Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يتمكن مهاجم عن بعد من الوصول إلى الوظائف الإدارية لـ Podcast Producer

    الوصف: توجد مشكلة تجاوز المصادقة في خادم Podcast Producer، مما قد يسمح لمستخدم غير مصرح له بالوصول الوظائف الإدارية في الخادم. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لقيود الوصول. تم تقديم Podcast Producer في Mac OS X Server الإصدار 10.5.

  • UDF

    CVE-ID‏: CVE-2008-4224

    متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.5، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.5

    التأثير: قد يؤدي فتح ملف ISO إلى خطأ إيقاف تشغيل غير متوقع للنظام

    الوصف: توجد مشكلة في التحقق من صحة الإدخال أثناء معالجة وحدات تخزين UDF المشوهة. قد يؤدي فتح ملف ISO تم إنشاؤه بشكل متطفل إلى إيقاف تشغيل النظام بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال التحقق المحسن من صحة الإدخال. يعود الفضل إلى Mauro Notarianni من PCAX Solutions للإبلاغ عن هذه المشكلة.

مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.

تاريخ النشر: