نبذة حول تحديث الأمان 2010-005
يصف هذا المستند تحديث الأمان 2010-005.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple".
تحديث الأمان 2010-005
ATS
CVE-ID: CVE-2010-1808
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.4 وMac OS X Server الإصدار 10.6.4
التأثير: عرض أو تنزيل مستند يحتوي على خط مضمن بشكل متطفل قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز سعة التخزين المؤقت للمكدس في معالجة Apple Type Services للخطوط المضمنة. قد يؤدي عرض أو تنزيل مستند يحتوي على خط مضمن بشكل متطفل إلى تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص.
CFNetwork
CVE-ID: CVE-2010-1800
متوفر لما يلي: Mac OS X الإصدار 10.6.4 وMac OS X Server الإصدار 10.6.4
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التقاط بيانات اعتماد المستخدم أو غير ذلك من المعلومات الحساسة
الوصف: تسمح CFNetwork باتصالات TLS/SSL مجهولة الهوية. وقد يتيح هذا الأمر لمخترق متسلل إعادة توجيه الاتصالات والتقاط بيانات اعتماد المستخدم أو غيرها من المعلومات الحساسة. لا تؤثر هذه المشكلة على تطبيق البريد. تمت معالجة هذه المشكلة عن طريق تعطيل اتصالات TLS/SSL مجهولة الهوية. هذه المشكلة لا تؤثر على الأنظمة السابقة لنظام Mac OS X الإصدار 10.6.3. يعود الفضل إلى Aaron Sigel من vtty.com، وJean-Luc Giraud من Citrix، وTomas Bjurman من Sirius IT، وWan-Teh Chang من Google, Inc. للإبلاغ عن هذه المشكلة.
ClamAV
CVE-ID: CVE-2010-0098, CVE-2010-1311
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8، Mac OS X Server الإصدار 10.6.4
التأثير: ثغرات أمنية متعددة في ClamAV
الوصف: توجد ثغرات أمنية متعددة في ClamAV، وأخطرها قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلات عن طريق تحديث ClamAV إلى الإصدار 0.96.1. ويتم توزيع ClamAV فقط مع أنظمة Mac OS X Server. مزيد من المعلومات متاحة عبر موقع ClamAV على http://www.clamav.net/
CoreGraphics
CVE-ID: CVE-2010-1801
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.4، وMac OS X Server الإصدار 10.6.4
التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تجاوز سعة التخزين المؤقت للكومة في معالجة CoreGraphics لملفات PDF. قد يؤدي فتح ملف PDF تم إنشاؤه بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يعود الفضل إلى Rodrigo Rubira Branco من فريق Check Point Vulnerability Discovery Team (VDT) للإبلاغ عن هذه المشكلة.
libsecurity
CVE-ID: CVE-2010-1802
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.4، وMac OS X Server الإصدار 10.6.4
التأثير: قد يقوم مهاجم يتمتع بمنصب ذي امتيازات في الشبكة ويمكنه الحصول على اسم مجال يختلف فقط في الأحرف الأخيرة عن اسم المجال الشرعي بانتحال شخصية المضيفين في هذا المجال
الوصف: توجد مشكلة في معالجة أسماء مضيفي الشهادات. بالنسبة لأسماء المضيفين التي تحتوي على ثلاثة مكونات أو أكثر، لا تتم مقارنة الأحرف الأخيرة بشكل صحيح. في حالة الاسم الذي يحتوي على ثلاثة مكونات بالضبط، لا يتم التحقق من الحرف الأخير فقط. على سبيل المثال، إذا تمكن مهاجم يتمتع بمنصب ذي امتيازات في الشبكة من الحصول على شهادة لـ www.example.con، يمكن للمهاجم انتحال شخصية www.example.com. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لأسماء مضيفي الشهادات. يعود الفضل إلى Peter Speck للإبلاغ عن هذه المشكلة.
PHP
CVE-ID: CVE-2010-1205
متوفر لما يلي: Mac OS X الإصدار 10.6.4، وMac OS X Server الإصدار 10.6.4
التأثير: قد يؤدي تحميل صورة PNG متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تجاوز سعة التخزين المؤقت في مكتبة libpng في PHP. قد يؤدي تحميل صورة PNG متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. تمت معالجة هذه المشكلة عن طريق تحديث libpng في PHP إلى الإصدار 1.4.3. ولا تؤثر هذه المشكلة على الأنظمة السابقة للنظام Mac OS X الإصدار 10.6.
PHP
CVE-ID: CVE-2010-1129، وCVE-2010-0397، وCVE-2010-2225، وCVE-2010-2484
متوفر لما يلي: Mac OS X الإصدار 10.6.4، وMac OS X Server الإصدار 10.6.4
التأثير: ثغرات أمنية متعددة في PHP 5.3.1
الوصف: تم تحديث PHP إلى الإصدار 5.3.2 لمعالجة العديد من الثغرات الأمنية، والتي قد يؤدي أخطرها إلى تنفيذ تعليمات برمجية عشوائية. مزيد من المعلومات متاحة عبر موقع PHP على http://www.php.net/
Samba
CVE-ID: CVE-2010-2063
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.4، وMac OS X Server الإصدار 10.6.4
التأثير: قد يتسبب مهاجم بعيد غير مسموح له في رفض الخدمة أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تجاوز سعة التخزين المؤقت في Samba. قد يتسبب مهاجم بعيد غير مسموح له في رفض الخدمة أو تنفيذ تعليمات برمجية عشوائية من خلال إرسال حزمة متطفلة. تمت معالجة هذه المشكلة عن طريق إجراء تحقق إضافي من صحة الحزم في Samba.
مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.