نبذة عن محتوى أمان لتحديث الأمان 2010-002 / Mac OS X الإصدار 10.6.3
يصف هذا المستند محتوى أمان تحديث الأمان 2010-002 / نظام Mac OS X الإصدار 10.6.3.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
تحديث الأمان 2010-002 / Mac OS X الإصدار 10.6.3
AppKit
CVE-ID: CVE-2010-0056
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي التدقيق الإملائي لمستند ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة التخزين المؤقت في ميزة التدقيق الإملائي التي تستخدمها تطبيقات Cocoa. قد يؤدي التدقيق الإملائي لمستند ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
Application Firewall
CVE-ID: CVE-2009-2801
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد تصبح بعض القواعد في Application Firewall غير نشطة بعد إعادة التشغيل
الوصف: إن وجود مشكلة في التوقيت في Application Firewall قد يجعل بعض القواعد غير نشطة بعد إعادة التشغيل. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لقواعد جدار الحماية. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يسعدنا أن نتوجّه بخالص الشكر إلى Michael Kisor من فريق OrganicOrb.com للإبلاغ عن هذه المشكلة.
AFP Server
CVE-ID: CVE-2010-0057
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: عند تعطيل وصول الضيف، قد يتمكّن مستخدِم عن بُعد من تحميل مشاركات AFP كضيف
الوصف: إن وجود مشكلة في التحكم بالوصول في AFP Server قد يُتيح لمستخدم عن بُعد تحميل مشاركات AFP كضيف، حتى لو تم تعطيل وصول الضيف. تمت معالجة هذه المشكلة من خلال عمليات التحقق المحسّنة من التحكم في الوصول. يعود الفضل إلى: Apple.
AFP Server
CVE-ID: CVE-2010-0533
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مستخدم عن بُعد يتمتع بإمكانية الوصول إلى مشاركة AFP من الوصول إلى محتويات الملفات التي يمكن قراءتها عالميًا وتوجد خارج المشاركة العامة
الوصف: توجد مشكلة تتعلق باجتياز الدليل أثناء التحقق من صحة المسار لمشاركات AFP. يمكن لمستخدم عن بُعد تعداد الدليل الأصلي لجذر المشاركة وقراءة الملفات الموجودة في هذا الدليل أو الكتابة عليها والتي لا يمكن لأي مستخدم الوصول إليها. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لمسارات الملفات. يسعدنا أن نتوجّه بخالص الشكر إلى Patrik Karlsson من فريق cqure.net للإبلاغ عن هذه المشكلة.
Apache
CVE-ID: CVE-2009-3095
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مخترق عن بُعد من تجاوز قيود التحكم في الوصول
الوصف: توجد مشكلة في التحقق من صحة الإدخال أثناء معالجة Apache لطلبات وكيل FTP. قد يتمكّن مخترق عن بُعد يمكنه إصدار الطلبات عبر الوكيل من تجاوز قيود التحكم في الوصول المحددة في تكوين Apache. تمت معالجة هذه المشكلة من خلال تحديث Apache إلى الإصدار 2.2.14.
ClamAV
CVE-ID: CVE-2010-0058
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد لا تتلقى تعريفات فيروسات ClamAV تحديثات
الوصف: هناك مشكلة متعلقة بالتكوين ظهرت في تحديث الأمان 2009-005 تمنع تشغيل برنامج freshclam. وقد يمنع ذلك تحديث تعريفات الفيروسات. تمت معالجة هذه المشكلة من خلال تحديث قيم ProgramArguments الأساسية في launchd plist لبرنامج freshclam. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يسعدنا أن نتوجّه بخالص الشكر إلى Bayard Bell وWil Shipley من شركة Delicious Monster وDavid Ferrero من شركة Zion Software, LLC للإبلاغ عن هذه المشكلة.
CoreAudio
CVE-ID: CVE-2010-0059
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي تشغيل محتوى صوتي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف في الذاكرة أثناء معالجة المحتوى الصوتي الذي تم تشفيره باستخدام QDM2. قد يؤدي تشغيل محتوى صوتي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
CoreAudio
CVE-ID: CVE-2010-0060
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي تشغيل محتوى صوتي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف في الذاكرة أثناء معالجة المحتوى الصوتي الذي تم تشفيره باستخدام QDMC. قد يؤدي تشغيل محتوى صوتي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
CoreMedia
CVE-ID: CVE-2010-0062
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة CoreMedia لملفات الأفلام المشفّرة بـ H.263. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ H.263. يسعدنا أن نتوجّه بخالص الشكر إلى Damian Put وباحث غير معلوم الهوية اللذان يعملان في مبادرة Zero Day Initiative من TippingPoint للإبلاغ عن هذه المشكلة.
CoreTypes
CVE-ID: CVE-2010-0063
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: لا يتم تحذير المستخدمين قبل فتح بعض أنواع المحتوى التي يُحتمل أن تكون غير آمنة
الوصف: يضيف هذا التحديث .ibplugin و.url إلى قائمة أنواع المحتوى في النظام والتي سيتم وضع علامة عليها بأنها من المحتمل أن تكون غير آمنة في حالات معينة، مثل عندما يتم تنزيلها من صفحة ويب. على الرغم من أن أنواع المحتوى هذه لا يتم تشغيلها تلقائيًا، فإنه إذا تم فتحها يدويًا، فقد تؤدي إلى تنفيذ بيانات JavaScript الأساسية الضارة أو تنفيذ تعليمات برمجية عشوائية. يعمل هذا التحديث على تحسين قدرة النظام على إخطار المستخدمين قبل التعامل مع أنواع المحتوى التي يستخدمها سفاري. يسعدنا أن نتوجّه بخالص الشكر إلى Clint Ruoho من Laconic Security للإبلاغ عن هذه المشكلة.
CUPS
CVE-ID: CVE-2010-0393
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مستخدم محلي من الحصول على امتيازات النظام
الوصف: توجد مشكلة تتعلق بسلسلة التنسيق في أداة lppasswd CUPS المساعدة. قد يسمح هذا لمستخدم محلي بالحصول على امتيازات النظام. لا تتأثر بذلك أنظمة Mac OS X الإصدار 10.6 إلا إذا تم تعيين بت setuid على ثنائي. تمت معالجة هذه المشكلة باستخدام الأدلة الافتراضية عند التشغيل كعملية setuid. نتوجّه بخالص الشكر إلى Ronald Volgers للإبلاغ عن هذه المشكلة.
curl
CVE-ID: CVE-2009-2417
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مخترق متسلل من انتحال صفة خادم موثوق به
الوصف: توجد مشكلة متعلقة بالتوحيد القياسي أثناء معالجة curl للأحرف الفارغة في حقل الاسم الشائع (CN) بالموضوع في شهادات X.509. قد يؤدي هذا إلى حدوث هجمات دخيلة ضد مستخدمي أداة سطر أوامر curl أو التطبيقات التي تستخدم libcurl. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة للأحرف الفارغة.
curl
CVE-ID: CVE-2009-0037
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يُتيح استخدام curl مع -L لمخترق عن بُعد قراءة الملفات المحلية أو كتابتها
الوصف: سيتبع curl عمليات إعادة توجيه HTTP وHTTPS عند استخدامه مع الخيار -L. عندما يتبع curl إعادة توجيه، يسمح بعناوين URL التي بها file://. وقد يُتيح هذا للمخترق عن بُعد إمكانية الوصول إلى الملفات المحلية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من عمليات إعادة التوجيه. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يسعدنا أن نتوجّه بخالص الشكر إلى Daniel Stenberg من شركة Haxx AB للإبلاغ عن هذه المشكلة.
Cyrus IMAP
CVE-ID: CVE-2009-2632
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: قد يتمكّن مستخدم محلي من الحصول على امتيازات مستخدم Cyrus
الوصف: يوجد تجاوز في سعة التخزين المؤقت أثناء معالجة برامج sieve النصية. قد يتمكّن مستخدم محلي من الحصول على امتيازات مستخدم Cyrus من خلال تشغيل برنامج sieve النصي الضار. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6.
Cyrus SASL
CVE-ID: CVE-2009-0688
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يتسبب مخترق عن بُعد لم تتم مصادقته في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة التخزين المؤقت في وحدة مصادقة Cyrus SASL. قد يؤدي استخدام مصادقة Cyrus SASL إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6.
DesktopServices
CVE-ID: CVE-2010-0064
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتم تعيين عناصر تم نسخها في فايندر لمالك ملف غير متوقع
الوصف: عند إجراء نسخة مُصدَّقة في فايندر، قد يتم نسخ ملكية الملف الأصلي بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال التأكد من أن الملفات التي يتم نسخها مملوكة للمستخدم الذي يُجري النسخ. لا تؤثر هذه المشكلة على الأنظمة السابقة للإصدار 10.6 من Mac OS X. يسعدنا أن نتوجّه بخالص الشكر إلى Gerrit DeWitt من جامعة أوبورن (في مدينة أوبورن بولاية ألاباما) للإبلاغ عن هذه المشكلة.
DesktopServices
CVE-ID: CVE-2010-0537
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مخترق عن بُعد من الوصول إلى بيانات المستخدم عبر هجوم متعدد المراحل
الوصف: هناك مشكلة تتعلق بدقة المسار في DesktopServices تؤدي إلى التعرّض لهجوم متعدد المراحل. يجب على أي مخترق عن بُعد أولاً جذب المستخدم وتوجيهه لتحميل مشاركة تحمل اسمًا عشوائيًا، وهو ما يمكن إجراؤه من خلال مخطط URL. عند حفظ ملف باستخدام لوحة الحفظ الافتراضي في أي تطبيق، واستخدام "انتقال إلى مجلد" أو سحب المجلدات إلى لوحة الحفظ، قد يتم حفظ البيانات على نحو غير متوقع في المشاركة الضارة. تمت معالجة هذه المشكلة من خلال دقة المسار المُحسّنة. لا تؤثر هذه المشكلة على الأنظمة السابقة للإصدار 10.6 من Mac OS X. يسعدنا أن نتوجّه بخالص الشكر إلى Sidney San Martin الذي يعمل لدى شركة DeepTech, Inc. للإبلاغ عن هذه المشكلة.
Disk Images
CVE-ID: CVE-2010-0065
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي تحميل صورة قرص ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف الذاكرة أثناء معالجة Disk Images المضغوطة باستخدام bzip2. قد يؤدي تحميل صورة قرص ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يعود الفضل إلى: Apple.
Disk Images
CVE-ID: CVE-2010-0497
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي تحميل صورة قرص ضارة إلى تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالتصميم أثناء معالجة Disk Images المتاحة عبر الإنترنت. سيؤدي تحميل صورة قرص متاحة عبر الإنترنت تحتوي على نوع ملف حزمة إلى فتحها بدلاً من الكشف عنها في فايندر. تساعد ميزة عزل الملف هذه في الحدّ من هذه المشكلة بتوفير مربع حوار التحذير لأنواع الملفات غير الآمنة. تمت معالجة هذه المشكلة من خلال المعالجة المُحسّنة لأنواع ملفات الحزمة في صور القرص المتاحة عبر الإنترنت. نتوجّه بخالص الشكر إلى Brian Mastenbrook الذي يعمل في مبادرة Zero Day Initiative من TippingPoint للإبلاغ عن هذه المشكلة.
Directory Services
CVE-ID: CVE-2010-0498
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: يمكن لمستخدم محلي الحصول على امتيازات النظام
الوصف: قد تُتيح مشكلة تتعلق بالمصادقة أثناء معالجة Directory Services لأسماء السجلات لمستخدم محلي الحصول على امتيازات النظام. تمت معالجة هذه المشكلة من خلال عمليات التحقق المحسّنة من المصادقة. يعود الفضل إلى: Apple.
Dovecot
CVE-ID: CVE-2010-0535
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مستخدم تمت مصادقته من إرسال البريد وتلقيه حتى إن لم يكن المستخدم موجودًا في قائمة SACL الخاصة بالمستخدمين الذين يُسمَح لهم بذلك
الوصف: توجد مشكلة تتعلق بالتحكم بالوصول في Dovecot عند تمكين مصادقة Kerberos. قد يُتيح هذا لمستخدم تمت مصادقته إمكانية إرسال البريد وتلقيه حتى إن لم يكن المستخدم موجودًا في قائمة التحكم في الوصول إلى الخدمات (SACL) الخاصة بالمستخدمين الذين يُسمَح لهم بذلك. تمت معالجة هذه المشكلة من خلال عمليات التحقق المحسّنة من التحكم في الوصول. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.6 من Mac OS X.
Event Monitor
CVE-ID: CVE-2010-0500
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتسبب مخترق عن بُعد في إضافة أنظمة عشوائية إلى القائمة السوداء لجدار الحماية
الوصف: يتم إجراء بحث DNS عكسي لعملاء ssh عن بُعد الذين تتعذّر مصادقتهم. توجد مشكلة في تضمين plist أثناء معالجة أسماء DNS المحددة. قد يُتيح ذلك لمخترق عن بُعد أن يتسبب في إضافة أنظمة عشوائية إلى القائمة السوداء لجدار الحماية. تمت معالجة هذه المشكلة من خلال تجاوز أسماء DNS المحددة بشكل صحيح. يعود الفضل إلى: Apple.
FreeRADIUS
CVE-ID: CVE-2010-0524
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مخترق عن بُعد من الوصول إلى الشبكة من خلال مصادقة RADIUS
الوصف: توجد مشكلة في مصادقة الشهادة أثناء تكوين Mac OS X الافتراضي لخادم FreeRADIUS. قد يستخدم مخترق عن بُعد بروتوكول EAP-TLS مع شهادة عشوائية صالحة للمصادقة والاتصال بشبكة تم تكوينها لاستخدام FreeRADIUS لإجراء المصادقة. تمت معالجة هذه المشكلة بتعطيل دعم EAP-TLS أثناء التكوين. يجب أن يستخدم عملاء RADIUS بروتوكول EAP-TTLS بدلاً من ذلك. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server. يسعدنا أن نتوجّه بخالص الشكر إلى Chris Linstruth من شركة Qnet للإبلاغ عن هذه المشكلة.
FTP Server
CVE-ID: CVE-2010-0501
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكن المستخدمون من استرداد الملفات خارج دليل FTP الجذر
الوصف: توجد مشكلة تتعلق باجتياز الدليل في FTP Server. قد يُتيح هذا للمستخدم استرداد الملفات خارج دليل FTP الجذر. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لأسماء الملفات. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server. يعود الفضل إلى: Apple.
iChat Server
CVE-ID: CVE-2006-1329
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتسبب مخترق عن بُعد في رفض الخدمة
الوصف: توجد مشكلة في التنفيذ أثناء معالجة jabberd لتفاوض SASL. قد يتمكّن مخترق عن بُعد من إنهاء تشغيل jabberd. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لتفاوض SASL. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server.
iChat Server
CVE-ID: CVE-2010-0502
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد لا يتم تسجيل رسائل الدردشة
الوصف: توجد مشكلة تتعلق بالتصميم في دعم iChat Server لتسجيل الدردشة الجماعية القابلة للتكوين. يُسجّل iChat Server أنواعًا معينة من الرسائل فقط. قد يُتيح ذلك لمستخدم عن بُعد إرسال رسالة عبر الخادم دون تسجيلها. تمت معالجة المشكلة بإزالة إمكانية تعطيل سجلات الدردشة الجماعية، وتسجيل جميع الرسائل التي يتم إرسالها عبر الخادم. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server. يعود الفضل إلى: Apple.
iChat Server
CVE-ID: CVE-2010-0503
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: قد يتسبب مستخدم تمت مصادقته في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالاستخدام بعد التحرير في iChat Server. قد يتسبب مستخدم تمت مصادقته في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة من خلال التتبع المحسّن لمرجع الذاكرة. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server، إلا أنها لا تؤثر على الإصدارات 10.6 أو الأحدث.
iChat Server
CVE-ID: CVE-2010-0504
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتسبب مستخدم تمت مصادقته في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد عدة مشكلات متعلقة بتجاوز سعة التخزين المؤقت للمكدس في iChat Server. قد يتسبب مستخدم تمت مصادقته في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلات من خلال الإدارة المحسّنة للذاكرة. تؤثر هذه المشكلات على أنظمة Mac OS X Server فقط. يعود الفضل إلى: Apple.
ImageIO
CVE-ID: CVE-2010-0505
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض صورة JP2 ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة صور JP2. قد يؤدي عرض صورة JP2 ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يسعدنا أن نتوجّه بخالص الشكر إلى Chris Ries من Carnegie Mellon University Computing Service وباحث "85319bb6e6ab398b334509c50afce5259d42756e" الذي يعمل في مبادرة Zero Day Initiative من TippingPoint للإبلاغ عن هذه المشكلة.
ImageIO
CVE-ID: CVE-2010-0041
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد تؤدي زيارة موقع ويب ضار إلى إرسال بيانات من ذاكرة سفاري إلى موقع الويب
الوصف: توجد مشكلة في الوصول إلى ذاكرة غير مهيأة أثناء معالجة ImageIO لصور BMP. قد تؤدي زيارة موقع ويب متطفل إلى إرسال بيانات من ذاكرة سفاري إلى موقع الويب. تمت معالجة هذه المشكلة عن طريق التهيئة المحسّنة للذاكرة والتحقق الإضافي من صحة صور BMP. يعود الفضل إلى Matthew 'j00ru' Jurczyk من Hispasec للإبلاغ عن هذه المشكلة.
ImageIO
CVE-ID: CVE-2010-0042
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد تؤدي زيارة موقع ويب ضار إلى إرسال بيانات من ذاكرة سفاري إلى موقع الويب
الوصف: توجد مشكلة في الوصول إلى ذاكرة غير مهيأة أثناء معالجة ImageIO لصور TIFF. قد تؤدي زيارة موقع ويب متطفل إلى إرسال بيانات من ذاكرة سفاري إلى موقع الويب. تمت معالجة هذه المشكلة عن طريق التهيئة المحسّنة للذاكرة والتحقق الإضافي من صحة صور TIFF. يعود الفضل إلى Matthew 'j00ru' Jurczyk من Hispasec للإبلاغ عن هذه المشكلة.
ImageIO
CVE-ID: CVE-2010-0043
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، Mac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد تؤدي معالجة صورة TIFF ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بتلف في الذاكرة أثناء معالجة صور TIFF. قد تؤدي معالجة صورة TIFF متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة للذاكرة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.6 من Mac OS X. يسعدنا أن نتوجّه بخالص الشكر إلى Gus Mueller من شركة Flying Meat للإبلاغ عن هذه المشكلة.
Image RAW
CVE-ID: CVE-2010-0506
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي عرض صورة NEF ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة التخزين المؤقت أثناء معالجة Image RAW لصور NEF. قد يؤدي عرض صورة NEF ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
Image RAW
CVE-ID: CVE-2010-0507
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض صورة PEF ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة التخزين المؤقت أثناء معالجة Image RAW لصور PEF. قد يؤدي عرض صورة PEF ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يرجع الفضل إلى Chris Ries من Carnegie Mellon University Computing Services للإبلاغ عن هذه المشكلة.
Libsystem
CVE-ID: CVE-2009-0689
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد تكون التطبيقات التي تحوّل البيانات غير الموثوق بها بين النقطة العائمة الثنائية والنص عرضةً لإنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز بسعة التخزين المؤقت في التعليمات البرمجية لتحويل النقطة العائمة الثنائية إلى نص في Libsystem. إن المخترق الذي يمكنه أن يسبب تحويل التطبيق لقيمة نقطة عائمة إلى سلسلة طويلة، أو تحليل سلسلة ضارة كقيمة نقطة عائمة، قد يتسبب أيضًا في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يعود الفضل إلى Maksymilian Arciemowicz من SecurityReason.com للإبلاغ عن هذه المشكلة.
Mail
CVE-ID: CVE-2010-0508
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: تظلّ القواعد المرتبطة بحساب البريد المحذوف سارية
الوصف: عند حذف حساب بريد، فإن قواعد التصفية المحددة من قِبل المستخدم والمرتبطة بهذا الحساب تظلّ فعّالة. وقد يؤدي هذا إلى تنفيذ إجراءات غير متوقعة. تمت معالجة هذه المشكلة من خلال تعطيل القواعد المرتبطة عند حذف حساب بريد.
Mail
CVE-ID: CVE-2010-0525
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يستخدم Mail مفتاح تشفير أضعف للبريد الإلكتروني الصادر
الوصف: توجد مشكلة منطقية في معالجة Mail لشهادات التشفير. عند وجود شهادات متعددة للمستلم في سلسلة المفاتيح، من الممكن أن يحدد Mail مفتاح تشفير غير مخصص للتشفير. قد يؤدي هذا إلى حدوث مشكلة متعلقة بالأمان إذا كان المفتاح المختار أضعف من المتوقع. تمت معالجة هذه المشكلة بالتأكد من تقييم ملحق استخدام المفتاح في الشهادات عند تحديد مفتاح تشفير البريد. يسعدنا أن نتوجّه بخالص الشكر إلى Paul Suh من شركة ps Enable, Inc. للإبلاغ عن هذه المشكلة.
Mailman
CVE-ID: CVE-2008-0564
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: ثغرات أمنية متعددة في Mailman 2.1.9
الوصف: توجد مشكلات متعددة في البرمجة النصية عبر المواقع في Mailman 2.1.9. تمت معالجة هذه المشكلات من خلال تحديث Mailman إلى الإصدار 2.1.13. يتوفر مزيد من المعلومات عبر موقع Mailman على http://mail.python.org/pipermail/mailman-announce/2009-January/000128.html تؤثر هذه المشكلات فقط على أنظمة Mac OS X Server، إلا أنها لا تؤثر على الإصدارات 10.6 أو الأحدث.
MySQL
CVE-ID: CVE-2008-4456, CVE-2008-7247, CVE-2009-2446, CVE-2009-4019, CVE-2009-4030
متوفر لما يلي: Mac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: ثغرات أمنية متعددة في MySQL 5.0.82
الوصف: تم تحديث MySQL إلى الإصدار 5.0.88 لمعالجة الثغرات الأمنية المتعددة، وقد يؤدي أخطرها إلى تنفيذ تعليمات برمجية عشوائية. تؤثر هذه المشكلات على أنظمة Mac OS X Server فقط. يتوفر مزيد من المعلومات عبر موقع ويب MySQL على http://dev.mysql.com/doc/refman/5.0/en/news-5-0-88.html
OS Services
CVE-ID: CVE-2010-0509
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: يمكن لمستخدم محلي الحصول على امتيازات أعلى
الوصف: توجد مشكلة تتعلق بزيادة الامتيازات في SFLServer، لأنه يعمل "كأداة تخطيط" للمجموعات ويصل إلى الملفات الموجودة في الأدلة الرئيسية للمستخدمين. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للامتيازات. نتوجّه بخالص الشكر إلى Kevin Finisterre من DigitalMunition للإبلاغ عن هذه المشكلة.
Password Server
CVE-ID: CVE-2010-0510
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكّن مخترق عن بُعد من تسجيل الدخول باستخدام كلمة سر قديمة
الوصف: قد تؤدي مشكلة في التنفيذ أثناء معالجة Password Server للنسخ المتماثل إلى عدم نسخ كلمات السر. قد يتمكّن مخترق عن بُعد من تسجيل الدخول إلى النظام باستخدام كلمة سر قديمة. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة للنسخ المتماثل لكلمات السر. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server. يسعدنا أن نتوجّه بخالص الشكر إلى Jack Johnson من Anchorage School District للإبلاغ عن هذه المشكلة.
perl
CVE-ID: CVE-2008-5302, CVE-2008-5303
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يتسبب مستخدم محلي في حذف ملفات عشوائية
الوصف: توجد مشكلات متعددة تتعلق بحالة التعارض في وظيفة rmtree بوحدة perl File::Path. قد يتسبب مستخدم محلي يتمتع بإمكانية الوصول للكتابة في الدليل الذي يتم حذفه، في إزالة ملفات عشوائية مع امتيازات عملية perl. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة للروابط الرمزية. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6.
PHP
CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4017
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: ثغرات أمنية متعددة في PHP 5.3.0
الوصف: تم تحديث PHP إلى الإصدار 5.3.1 لمعالجة الثغرات الأمنية المتعددة، والأكثر خطورة منها قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية. مزيد من المعلومات متاحة عبر موقع PHP على http://www.php.net/
PHP
CVE-ID: CVE-2009-3557, CVE-2009-3558, CVE-2009-3559, CVE-2009-4142, CVE-2009-4143
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: ثغرات أمنية متعددة في PHP 5.2.11
الوصف: تم تحديث PHP إلى الإصدار 5.2.12 لمعالجة الثغرات الأمنية المتعددة، وقد يؤدي أخطرها إلى البرمجة النصية عبر المواقع. مزيد من المعلومات متاحة عبر موقع PHP على http://www.php.net/
Podcast Producer
CVE-ID: CVE-2010-0511
متوفر لما يلي: Mac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير:قد يتمكّن مستخدم غير مصرّح له من الوصول إلى سير عمل Podcast Composer
الوصف: عند استبدال سير عمل Podcast Composer، تتم إزالة قيود الوصول. وقد يُتيح هذا لمستخدم غير مصرّح له الوصول إلى سير عمل Podcast Composer. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لقيود الوصول إلى سير العمل. تم طرح Podcast Composer في الإصدار 10.6 من Mac OS X Server.
Preferences
CVE-ID: CVE-2010-0512
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكن مستخدم الشبكة من تجاوز قيود تسجيل الدخول إلى النظام
الوصف: توجد مشكلة في التنفيذ أثناء معالجة قيود تسجيل الدخول إلى النظام فيما يتعلق بحسابات الشبكة. في حالة تحديد حسابات الشبكة التي يُسمَح لها بتسجيل الدخول إلى النظام في "نافذة تسجيل الدخول" حسب عضوية المجموعة فقط، فلن يتم فرض القيود، وسيُسمح لجميع مستخدمي الشبكة بتسجيل الدخول إلى النظام. تمت معالجة المشكلة من خلال الإدارة المحسّنة لقيود المجموعة في جزء "تفضيلات الحسابات". تؤثر هذه المشكلة فقط على الأنظمة التي تم تكوينها لاستخدام خادم حسابات الشبكة، إلا أنها لا تؤثر على الأنظمة التي تسبق الإصدار 10.6 من Mac OS X. يسعدنا أن نتوجّه بخالص الشكر إلى Christopher D. Grieb الحاصل على ماجستير نظم المعلومات من جامعة ميشيغان للإبلاغ عن هذه المشكلة.
PS Normalizer
CVE-ID: CVE-2010-0513
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف PostScript ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة التخزين المؤقت للمكدس أثناء معالجة ملفات PostScript. قد يؤدي عرض ملف PostScript إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة من خلال إجراء تحقق إضافي من ملفات PostScript. يمكن الحدّ من هذه المشكلة في أنظمة Mac OS X الإصدار 10.6 من خلال علامة المحول البرمجي -fstack-protector. يعود الفضل إلى: Apple.
QuickTime
CVE-ID: CVE-2010-0062
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة QuickTime لملفات الأفلام المشفّرة بـ H.263. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ H.263. يسعدنا أن نتوجّه بخالص الشكر إلى Damian Put وباحث غير معلوم الهوية اللذان يعملان في مبادرة Zero Day Initiative من TippingPoint للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0514
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة ملفات الأفلام المشفّرة بـ H.261. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ H.261. نتوجه بالشكر إلى Will Dormann من CERT/CC للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0515
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تلف في الذاكرة أثناء معالجة ملفات الأفلام المشفرة بـ H.264. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ H.264. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0516
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة ملفات الأفلام المشفّرة باستخدام RLE. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ RLE. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0517
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة ملفات الأفلام المشفّرة باستخدام M-JPEG. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ M-JPEG. يسعدنا أن نتوجّه بخالص الشكر إلى Damian Put وباحث غير معلوم الهوية اللذان يعملان في مبادرة Zero Day Initiative من TippingPoint للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0518
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تلف في الذاكرة أثناء معالجة ملفات الأفلام المشفرة باستخدام Sorenson. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ Sorenson. نتوجه بالشكر إلى Will Dormann من CERT/CC للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0519
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز لعدد صحيح أثناء معالجة ملفات الأفلام المشفّرة باستخدام FlashPix. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0520
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة ملفات الأفلام المشفّرة باستخدام FLC. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ FLC. يسعدنا أن نتوجّه بخالص الشكر إلى Moritz Jodeit من شركة n.runs AG، ويعمل في مبادرة Zero Day Initiative من TippingPoint، وNicolas Joly من شركة VUPEN Security للإبلاغ عن هذه المشكلة.
QuickTime
CVE-ID: CVE-2010-0526
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض ملف MPEG ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز في سعة ذاكرة التخزين المؤقتة أثناء معالجة ملفات الأفلام المشفّرة باستخدام MPEG. قد يؤدي عرض ملف فيلم ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من ملفات الأفلام المشفرة بـ MPEG. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى TippingPoint's Zero Day Initiative للإبلاغ عن هذه المشكلة.
Ruby
CVE-ID: CVE-2009-2422, CVE-2009-3009, CVE-2009-4214
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: مشكلات متعددة في Ruby on Rails
الوصف: توجد ثغرات أمنية متعددة في Ruby on Rails، وقد يؤدي أخطرها إلى البرمجة النصية عبر المواقع. تمت معالجة هذه المشكلات في أنظمة Mac OS X الإصدار 10.6 من خلال تحديث Ruby on Rails إلى الإصدار 2.3.5. وتتأثر أنظمة Mac OS X الإصدار 10.5 فقط بـ CVE-2009-4214، وتمت معالجة هذه المشكلة من خلال التحقق المحسّن من الوسائط إلى strip_tags.
Ruby
CVE-ID: CVE-2009-1904
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي تشغيل برنامج Ruby النصي الذي يستخدم إدخالاً غير موثوق به لتهيئة كائن BigDecimal إلى إنهاء غير متوقع للتطبيق
الوصف: توجد مشكلة تتعلق باستهلاك الذاكرة المؤقتة للمكدس أثناء معالجة Ruby لكائنات BigDecimal ذات القيم الكبيرة للغاية. قد يؤدي تشغيل برنامج Ruby النصي الذي يستخدم إدخالاً غير موثوق به لتهيئة كائن BigDecimal إلى إنهاء غير متوقع للتطبيق. تمت معالجة هذه المشكلة في أنظمة Mac OS X الإصدار 10.6 من خلال تحديث Ruby إلى الإصدار 1.8.7-p173. تمت معالجة هذه المشكلة في أنظمة Mac OS الإصدار 10.5 من خلال تحديث Ruby إلى الإصدار 1.8.6-p369.
Server Admin
CVE-ID: CVE-2010-0521
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتمكن مخترق عن بُعد من استخراج المعلومات من Open Directory
الوصف: توجد مشكلة في التصميم أثناء معالجة ربط الدليل الذي تمت مصادقته. قد يتمكن مخترق عن بُعد من استخراج المعلومات بشكل مجهول من Open Directory، حتى إذا تم تمكين الخيار "يتطلب ربط مصدَّق بين الدليل والعملاء". تمت معالجة المشكلة من خلال إزالة خيار التكوين هذا. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server. يسعدنا أن نتوجّه بخالص الشكر إلى Scott Gruby من شركة Gruby Solutions وMathias Haack من GRAVIS Computervertriebsgesellschaft mbH للإبلاغ عن هذه المشكلة.
Server Admin
CVE-ID: CVE-2010-0522
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: قد يتمتع مسؤول سابق بإمكانية وصول غير مصرّح به إلى مشاركة الشاشة
الوصف: لا يزال بإمكان المستخدم الذي تمت إزالته من مجموعة "المسؤول" الاتصال بالخادم باستخدام مشاركة الشاشة. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لامتيازات المسؤول. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server، إلا أنها لا تؤثر على الإصدار 10.6 أو الأحدث. يعود الفضل إلى: Apple.
SMB
CVE-ID: CVE-2009-2906
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يتسبب مخترق عن بُعد في رفض الخدمة
الوصف: توجد مشكلة تتعلق بحلقة لانهائية أثناء معالجة Samba لإشعارات SMB لتوقف "oplock". قد يتمكن مخترق عن بُعد من تشغيل حلقة لانهائية في smbd، ما يجعلها تستهلك موارد وحدة المعالجة المركزية بشكل مفرط. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لإشعارات توقف "oplock".
Tomcat
CVE-ID: CVE-2009-0580, CVE-2009-0033, CVE-2009-0783, CVE-2008-5515, CVE-2009-0781, CVE-2009-2901, CVE-2009-2902, CVE-2009-2693
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: ثغرات أمنية متعددة في Tomcat 6.0.18
الوصف: تم تحديث Tomcat إلى الإصدار 6.0.24 لمعالجة الثغرات الأمنية المتعددة، وقد يؤدي أخطرها إلى هجوم البرمجة النصية عبر المواقع. يتوفر Tomcat فقط على أنظمة Mac OS X Server. يتوفر مزيد من المعلومات عبر موقع Tomcat على http://tomcat.apache.org/
unzip
CVE-ID: CVE-2008-0888
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي فك ضغط ملفات مضغوطة ضارة باستخدام أداة أمر unzip إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية
الوصف: توجد مشكلة تتعلق بالمؤشر غير المهيأ أثناء معالجة الملفات المضغوطة. قد يؤدي فك ضغط ملفات مضغوطة ضارة باستخدام أداة أمر unzip إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة من خلال إجراء تحقق إضافي من الملفات المضغوطة. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6.
vim
CVE-ID: CVE-2008-2712, CVE-2008-4101, CVE-2009-0316
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: ثغرات أمنية متعددة في vim 7.0
الوصف: توجد ثغرات أمنية متعددة في vim 7.0، وقد يؤدي أخطرها إلى تنفيذ تعليمات برمجية عشوائية عند استخدام ملفات ضارة. تمت معالجة هذه المشكلات بالتحديث إلى vim 7.2.102. ولا تؤثر هذه المشكلات على أنظمة Mac OS X v10.6. يتوفر مزيد من المعلومات عبر موقع ويب vim على http://www.vim.org/
Wiki Server
CVE-ID: CVE-2010-0523
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي تحميل تطبيق صغير ضار إلى الكشف عن معلومات حساسة
الوصف: يتيح Wiki Server للمستخدمين تحميل المحتوى النشط مثل تطبيقات Java الصغيرة. قد يحصل مخترق عن بُعد على معلومات حساسة عن طريق تحميل برنامج صغير ضار وتوجيه مستخدم Wiki Server لمشاهدته. تمت معالجة المشكلة باستخدام ملف تعريف ارتباط خاص للمصادقة لمرة واحدة ويمكن استخدامه فقط لتنزيل مرفق معين. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server، إلا أنها لا تؤثر على الإصدارات 10.6 أو الأحدث.
Wiki Server
CVE-ID: CVE-2010-0534
متوفر لما يلي: Mac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: يمكن أن يتجاوز مستخدم تمت مصادقته قيود إنشاء مدونة ويب
الوصف: يدعم Wiki Server قوائم التحكم في الوصول إلى الخدمات (SACLs)، مما يتيح للمسؤول التحكم في نشر المحتوى. يتعذّر على Wiki Server الرجوع إلى قائمة التحكم في الوصول إلى الخدمات الخاصة بمدونة الويب أثناء إنشاء مدونة ويب للمستخدم. وقد يتيح هذا لمستخدم تمت مصادقته نشر المحتوى على Wiki Server، على الرغم من أنه يجب عدم السماح بالنشر من قائمة التحكم في الوصول إلى الخدمات. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.6 من Mac OS X.
X11
CVE-ID: CVE-2009-2042
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، وMac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض صورة ضارة إلى الكشف عن معلومات حساسة
الوصف: تم تحديث libpng إلى الإصدار 1.2.37 لمعالجة مشكلة قد تؤدي إلى الكشف عن معلومات حساسة. يتوفر مزيد من المعلومات عبر موقع libpng على http://www.libpng.org/pub/png/libpng.html
X11
CVE-ID: CVE-2003-0063
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X من الإصدار 10.6 إلى الإصدار 10.6.2، Mac OS X Server من الإصدار 10.6 إلى الإصدار 10.6.2
التأثير: قد يؤدي عرض بيانات ضارة في وحدة xterm إلى تنفيذ تعليمات برمجية عشوائية
الوصف: يدعم برنامج xterm تسلسل الأوامر لتغيير عنوان النافذة وطباعته إلى الوحدة. يتم تقديم المعلومات التي يتم إرجاعها إلى الوحدة كما لو أنها مدخلات من لوحة المفاتيح من المستخدم. داخل محطة xterm، قد يؤدي عرض البيانات الضارة التي تحتوي على مثل هذه التسلسلات إلى إدخال الأوامر. تمت معالجة المشكلة من خلال تعطيل تسلسل الأوامر المتأثر.
xar
CVE-ID: CVE-2010-0055
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد تبدو الحزمة التي تم تعديلها مُوقَّعة بشكل صحيح
الوصف: توجد مشكلة تتعلق بالتصميم في xar عند التحقق من صحة توقيع الحزمة. قد يسمح هذا بظهور الحزمة التي تم تعديلها مُوقَّعة بشكل صحيح. تم إصلاح هذه المشكلة من خلال التحقق المُحسّن من صحة توقيع الحزمة. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.