نبذة حول محتوى الأمان بالإصدار 10.10.4 من نظام OS X Yosemite وتحديث الأمان 2015-005

يصف هذا المستند محتوى أمان الإصدار 10.10.4 من OS X Yosemite وتحديث الأمان 2015-005.

لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

وحيثما أمكن، يتمّ استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.

للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.

الإصدار 10.10.4 من OS X Yosemite وتحديث الأمان 2015-005

  • إطار عمل المسؤول

    متوفر لـ: OS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن تحصل العملية على امتيازات المسؤول دون مصادقة صحيحة

    الوصف: حدث مشكلة عند التحقق من استحقاقات XPC. تمت معالجة هذه المشكلة عبر الفحص المحسّن للتفويض.

    CVE-ID

    CVE-2015-3671 : Emil Kvarnhammar في TrueSec

  • إطار عمل المسؤول

    متوفر لـ: OS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن يحصل مستخدم غير مسؤول على حقوق مسؤول

    الوصف: حدثت مشكلة في معالجة مصادقة المستخدم. تمت معالجة هذه المشكلة عبر الفحص المحسّن للخطأ.

    CVE-ID

    CVE-2015-3672 : Emil Kvarnhammar في TrueSec

  • إطار عمل المسؤول

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن يسيء المخترق استخدام "أداة الدليل" للحصول على امتيازات جذرية

    الوصف: كان من الممكن نقل "أداة الدليل" وتعديلها لتحقيق تنفيذ تعليمات برمجية ضمن عملية مخوّلة. تمت معالجة هذه المشكلة عن طريق تقييد موقع القرص الذي ينفذ منه عملاء writeconfig (تهيئة الكتابة).

    CVE-ID

    CVE-2015-3673 : Patrick Wardle of Synack, Emil Kvarnhammar في TrueSec

  • afpserver

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.

    الوصف: وجود مشكلة تلف الذاكرة في خام AFP. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3674 : Dean Jerkovich لمجموعة NCC Group

  • apache

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن يتمكّن المخترق من الوصول إلى الدلائل المحمية من خلال مصادقة HTTP دون معرفة بيانات الاعتماد الصحيحة.

    الوصف: لا تشمل تهيئة Apache الافتراضية mod_hfs_apple. في حالة تمكين Apache يدويًا ولم يتم تغيير التهيئة، فقد تصبح بعض الملفات التي لا ينبغي الوصول إليها متاحة للوصول باستخدام عنوان URL المصمم بشكلٍ صحيح. تمت معالجة المشكلة عن طريق تمكين mod_hfs_apple.

    CVE-ID

    CVE-2015-3675 : Apple

  • apache

    متوفر لـ: OS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: وجود العديد من نقاط الضعف في PHP، والتي قد يؤدي أشدها خطورة إلى تنفيذ إجباري للرمز

    الوصف: وجود العديد من نقاط الضعف في إصدارات PHP التي تسبق 5.5.24 و5.4.40. تمت معالجتها عن طريق تحديث PHP إلى الإصدارات 5.5.24 و5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة في AppleGraphicsControl والتي ربما أدت إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3676: فريق Chen Liang of KEEN

  • AppleFSCompression

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة في ضغط LZVN التي ربما أدت إلى كشف محتوى ذاكرة kernel. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3677 : باحث غير معلوم يعمل ضمن مبادرة Zero Day Initiative لدى HP

  • AppleThunderboltEDMService

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة تلف ذاكرة في معالجة أوامر Thunderbolt معينة من المعالجات المحلية. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3678 : Apple

  • ATS

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.

    الوصف: وجود العديد من مشكلات تلف الذاكرة في معالجة خطوط معينة. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-3679 : Pawel Wylecial يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3680 : Pawel Wylecial يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3681 : John Villamil (@day6reak)، فريق Yahoo Pentest Team

    CVE-2015-3682 : 魏诺德

  • Bluetooth

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة تلف ذاكرة في واجهة Bluetooth HCI. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3683 : Roberto Paleari وAristide Fattori من شبكات Emaze

  • سياسة الوثوق في الشهادات

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من حركة مرور الشبكة.

    الوصف: تم إصدار شهادة متوسطة بشكلٍ غير صحيح عن طريق CNNIC التابعة لجهة الشهادات. تمت معالجة المشكلة من خلال إضافة آلية للوثوق فقط في مجموعة فرعية من الشهادات التي أُصدرت قبل إلغاء إصدار المتوسطة. يمكنك معرفة المزيد عن قائمة السماح لثقة الأمان الجزئية.

  • سياسة الوثوق في الشهادات

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    الوصف: تم تحديث سياسة الوثوق في الشهادات. يمكن عرض القائمة الكاملة من الشهادات في OS X Trust Store.

  • CFNetwork HTTPAuthentication

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد تؤدي متابعة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية

    الوصف: وجود مشكلة تلف الذاكرة في معالجة بعض من بيانات اعتماد URL. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3684 : Apple

  • CoreText

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف نصي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.

    الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات النصوص. تمت معالجة هذه المشاكل عبر الفحص المحسن للحدود.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685 : Apple

    CVE-2015-3686 : John Villamil (@day6reak)، فريقYahoo Pentest Team

    CVE-2015-3687 : John Villamil (@day6reak)، فريقYahoo Pentest Team

    CVE-2015-3688 : John Villamil (@day6reak)، فريقYahoo Pentest Team

    CVE-2015-3689 : Apple

  • coreTLS

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة باعتراض اتصالات SSL/TLS

    الوصف: قبل coreTLS مفاتيح ephemeral Diffie-Hellman (DH) القصيرة، كما تستخدم في مجموعات تشفير ephemeral DH ذات قوة تصدير. تعرف هذه المشلة أيضًا بـ Logjam، والتي أتاحت لمخترق يتمتع بمنصب ذي امتيازات في الشبكة تخفيض الأمان DH ذو 512 بت إذا كان الخادم يدعم مجموعة تشفير ephemeral DH ذات قوة تصدير. تمت معالجة المشكلة عن طريق زيادة الحد الأدنى من الحجم الافتراضي المسموح لمفاتيح DH ephemeral إلى 768 بت.

    CVE-ID

    CVE-2015-4000 : فريق weakdh في weakdh.org، Hanno Boeck

  • DiskImages

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    التأثير: وجود مشكلة كشف عن المعلومات في معالجة صور القرص. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.

    CVE-ID

    CVE-2015-3690 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • برامج تشغيل الشاشة

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة في ملحق kernel الخاص بمجموعة أوامر التحكم في الشاشة التي يمكن من خلالها أن تتحكم معالجة مساحة مستخدم في قيمة مؤشر وظيفة ضمن kernel. تمت معالجة المشكلة عن طريق إزالة الواجهة المتأثرة.

    CVE-ID

    CVE-2015-3691 : Roberto Paleari و Aristide Fattori من شبكات Emaze

  • EFI

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: يمكن أن يتمكن تطبيق ضار ذو امتيازات جذرية من تعديل ذاكرة فلاش EFI

    الوصف: وجود مشكلة تتعلق بعد كفاية القفل في ذاكرة فلاش EFI عند الاستئناف من حالات السكون. تمت معالجة هذه المشكلة عبر القفل المحسن.

    CVE-ID

    CVE-2015-3692 : Trammell Hudson لتحسيني سيغما، Xeno Kovah وCorey Kallenberg في LegbaCore LLC، وPedro Vilaça

  • EFI

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يؤدي تطبيق ضار إلى تقليل تلف الذاكرة لتصعيد الامتيازات

    الوصف: يوجد خطأ تشويش، يعرف أيضًا بـ Rowhammer، مع بعض من DDR3 RAM التي يمكن أن تؤدي إلى تلف ذاكرة. تم تخفيض المشكلة عن طريق زيادة معدلات تحديث الذاكرة.

    CVE-ID

    CVE-2015-3693 : Mark Seaborn و Thomas Dullien من Google، يعملان من البحث الأصلي عن طريق Yoongu Kim et al (2014)

  • FontParser

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.

    الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2015-3694 : John Villamil (@day6reak)، فريقYahoo Pentest Team

  • برنامج تشغيل الرسومات

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة تتعلق بالكتابة متجاوزة الحدود في برنامج تشغيل رسومات NVIDIA. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3712 : Ian Beer من Google Project Zero

  • برنامج تشغيل رسومات Intel

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: وجود العديد من مشكلات تجاوز سعة المخزن المؤقت في برنامج تشغيل رسومات Intel، التي قد تؤدي أشدها خطورة إلى تنفيذ إجباري للتعليمات البرمجية مع امتيازات النظام.

    الوصف: وجود العديد من مشكلات تجاوز سعة المخزن المؤقت في برنامج تشغيل رسومات Intel. تمت معالجتها من خلال فحوصات الحدود المحسنة.

    CVE-ID

    CVE-2015-3695 : Ian Beer من Google Project Zero

    CVE-2015-3696 : Ian Beer من Google Project Zero

    CVE-2015-3697 : Ian Beer من Google Project Zero

    CVE-2015-3698 : Ian Beer من Google Project Zero

    CVE-2015-3699 : Ian Beer من Google Project Zero

    CVE-2015-3700 : Ian Beer من Google Project Zero

    CVE-2015-3701 : Ian Beer من Google Project Zero

    CVE-2015-3702 : فريق KEEN Team

  • ImageIO

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: وجود العديد من نقاط الضعف في libtiff، التي قد يؤدي أشدها خطورة إلى تنفيذ إجباري للرمز

    الوصف: وجود العديد من نقاط الضعف في إصدارات libtiff الذي يسبق 4.0.4. تتم معالجتها عن طريق تحديث libtiff إلى الإصدار 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف .tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.

    الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات .tiff. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3703 : Apple

  • تثبيت إصدارات قديمة لإطارات العمل

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من المشكلات في كيفية إسقاط ثنائية setuid (تعيين معرّف المستخدم) الخاصة بـ "runner" (مشغل) لـ Install.framework للامتيازات. تمت معالجة المشكلة عبر إسقاط الامتيازات بشكل صحيح.

    CVE-ID

    CVE-2015-3704 : Ian Beer من Google Project Zero

  • IOAcceleratorFamily

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من مشكلات تلف الذاكرة في IOAcceleratorFamily. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-3705 : فريق KEEN Team

    CVE-2015-3706 : فريق KEEN Team

  • IOFireWireFamily

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من مشكلات عدم مرجعية مؤشر فارغ في برنامج تشغيل FireWire. تمت معالجة هذه المشكلات عبر الفحص المحسن للخطأ.

    CVE-ID

    CVE-2015-3707 : Roberto Paleari وAristide Fattori من شبكات Emaze
  • Kernel

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة إدارة ذاكرة في معالجة واجهات API المرتبطة بلمحقات kernel والتي يمكن أن تؤدي إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.

    CVE-ID

    CVE-2015-3720 : Stefan Esser
  • Kernel

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة إدارة ذاكرة في معالجة معلمات HFS المرتبطة بلمحقات kernel والتي يمكن أن تؤدي إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.

    CVE-ID

    CVE-2015-3721 : Ian Beer من Google Project Zero
  • أدوات kext

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن يتمكّن تطبيق ضار من استبدال الملفات الإجبارية.

    الوصف: اتبع kextd روابط رمزية أثناء إنشاء ملف جديد. تمت معالجة المشكلة من خلال معالجة محسّنة للروابط الرمزية.

    CVE-ID

    CVE-2015-3708 : Ian Beer من Google Project Zero

  • أدوات kext

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يتمكن مستخدم محلي من تحميل ملحقات kernel غير موقعة.

    الوصف: وجود حالة نادرة لـ "وقت الفحص إلى وقت الاستخدام" (TOCTOU) أثناء التحقق من صحة مسارات ملحقات kernel. تمت معالجة المشكلة من خلال الفحوصات المحسنة للتحقق من صحة مسار ملحقات kernel.

    CVE-ID

    CVE-2015-3709 : Ian Beer من Google Project Zero

  • Mail

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن للبريد الإلكتروني المتطفل استبدال صفحة ويب إجبارية بمحتوى الرسالة عندما يتم عرض الرسالة.

    الوصف: وجود مشكلة في الدعم لبريد إلكتروني بتنسيق HTML والذي أتاح تحديث محتوى الرسالة بصفحة ويب إجبارية. تمت معالجة المشكلة من خلال دعم مقيّد لمحتوى HTML.

    CVE-ID

    CVE-2015-3710 : Aaron Sigel من vtty.com، Jan Souček

  • ntfs

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة في NTFS التي ربما أدت إلى كشف محتوى ذاكرة kernel. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3711 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • ntp

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات من تنفيذ هجوم رفض الخدمة ضد عميلي ntp.

    الوصف: وجود العديد من المشكلات في مصادقة حزم ntp التي يتم تلقيها عن طريق نقاط النهاية المهيأة. تمت معالجة هذه المشكلات من خلال إدارة حالة اتصال محسّنة.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: وجود العديد من المشكلات في OpenSSL، بما في ذلك تلك التي تتيح للمخترق مقاطعة حالات الاتصال بأحد الخوادم التي تدعم عمليات التشفير ذات درجة التصدير.

    الوصف: وجود العديد من المشكلات في OpenSSL 0.9.8zd، والتي تمت معالجتها عن طريق تحديث OpenSSL إلى الإصدار 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف فيلم متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.

    الوصف: وجود العديد من مشكلات تلف الذاكرة في QuickTime. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-3661 : G. Geshev يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3662 : kdot يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3663 : kdot يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3666 : Steven Seeley من Source Incite يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3667 : Ryan Pentney، وRichard Johnson من Cisco Talos وKai Lu من معامل Fortinet's FortiGuard Labs

    CVE-2015-3668 : Kai Lu من معامل Fortinet's FortiGuard Labs

    CVE-2015-3713 : Apple

  • الأمان

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.

    الوصف: وجود مشكلة تجاوز الحد الأقصى لعدد صحيح في رمز إطار عمل الأمان لتوزيع البريد الإلكتروني S/MIME وبعض الكائنات المشفرة أو الموقعة. تمت معالجة هذه المشكلة عبر الفحص المحسّن للتحقق من الصحة.

    CVE-ID

    CVE-2013-1741

  • الأمان

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتعذر منع التطبيقات التي تعرضت للعبث عن التشغيل

    الوصف: قد تكون التطبيقات التي تستخدم قواعد الموارد المخصصة عرضة للتعرض للعبث الذي لن يبطل التوقيع. تمت معالجة هذه المشكلة عبر التحقق المحسّن من المورد.

    CVE-ID

    CVE-2015-3714 : Joshua Pitts من Leviathan Security Group

  • الأمان

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: قد يتمكن تطبيق ضار من تجاوز فحوصات توقيع التعليمات البرمجية.

    الوصف: وجود مشكلة حيث يتعذر على توقيع التعليمة البرمجية التحقق من صحة المكتبات التي تم تحميلها خارج حزمة التطبيق. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الحزمة.

    CVE-ID

    CVE-2015-3715 : Patrick Wardle من Synack

  • Spotlight

    متوفر لـ: OS X Mountain Lion الإصدار10.8.5، وOS X Mavericks الإصدار 10.9.5، وOS X Yosemite الإصدار 10.10 إلى الإصدار 10.10.3

    التأثير: البحث عن ملف ضار مع Spotlight يمكن أن يؤدي إلى تضمين الأوامر.

    الوصف: وجود نقطة ضعف تضمين أوامر في معالجة أسماء ملفات الصور المضافة إلى مكتبة صور محلية. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2015-3716 : Apple

  • SQLite

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.

    الوصف: وجود العديد من حالات تجاوز التخزين المؤقت في تنفيذ printf الخاص بـ SQLite. تمت معالجة هذه المشاكل عبر الفحص المحسن للحدود.

    CVE-ID

    CVE-2015-3717 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • SQLite

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يسمح أمر SQL متطفل بإنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وُجدت مشكلة متعلقة بواجهة برمجة التطبيقات API في وظيفة SQLite. وقد تمّ التصدي لهذه المشكلة عبر القيود المحسّنة.

    CVE-ID

    CVE-2015-7036: بيتر روتينبار، أحد أعضاء مبادرة Zero Day من HP

  • إحصاءات النظام

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد يؤدي تطبيق ضار إلى تسوية systemstatsd

    الوصف: وجود مشكة ارتباك في النوع في معالجة systemstatsd للاتصال ما بين العمليات. عن طريق إرسال رسالة متطفلة إلى systemstatsd، فقد يكون من الممكن تنفيذ التعليمة البرمجية الإجبارية كعملية systemstatsd. تمت معالجة المشكلة عبر الفحص الإضافي للأنواع.

    CVE-ID

    CVE-2015-3718 : Roberto Paleari وAristide Fattori من شبكات Emaze

  • TrueTypeScaler

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز.

    الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2015-3719 : John Villamil (@day6reak)، فريقYahoo Pentest Team

  • zip

    متوفر لـ: OS X Yosemite الإصدار 10.10 حتى 10.10.3

    التأثير: استخراج ملف zip مهيأ بشكل ضار باستخدام أداة إلغاء الضغط والتي يمكن أن يؤدي إلى إنهاء التطبيق غير المتوقع أو التنفيذ الإجباري للتعليمة البرمجية.

    الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات zip. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

يتضمن OS X Yosemite الإصدار 10.10.4 محتوى الأمان  Safari 8.0.7.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: