نبذة عن محتوى الأمان للمتصفح Safari 10.1

يتناول هذا المستند محتوى أمان المتصفح Safari 10.1.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

Safari 10.1

تم الإصدار في 27 مارس 2017

CoreGraphics

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2444: ‏Mei Wang من 360 GearTeam

JavaScriptCore

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2491:‏ Apple

تمت إضافة الإدخال في 2 مارس 2017

JavaScriptCore

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة صفحة ويب متطفلة إلى البرمجة النصية العمومية بين المواقع

الوصف: تمت معالجة مشكلة النماذج الأصلية من خلال المنطق المحسّن.

CVE-2017-2492:‏ lokihardt من Google Project Zero

تم تحديث الإدخال في 24 أبريل 2017

Safari‏

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: تمت معالجة مشكلة تتعلق بإدارة الحالة من خلال تعطيل إدخال النص حتى تحميل صفحة الوجهة.

CVE-2017-2376:‏ باحث غير معلوم الهوية،‏ Chris Hlady من Google Inc،‏ Yuyang Zhou من ‎Tencent Security Platform Department (security.tencent.com)‎،‏ ‎Muneaki Nishimura (nishimunea)‎ من Recruit Technologies Co., Ltd.‎،‏ Michal Zalewski من Google Inc، باحث غير معلوم الهوية

Safari‏

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى وجود أوراق اعتماد عبر مواقع الويب العشوائية

الوصف: وجدت مشكلة انتحال المحتوى ورفض الخدمة عند استخدام مصادقة HTTP. وتمت معالجة هذه المشكلة من خلال جعل مصادقة HTTP للأوراق بدون صيغة.

CVE-2017-2389: ‏ShenYeYinJiu من Tencent Security Response Center،‏ TSRC

Safari‏

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

الأثر: قد تؤدي زيارة موقع ويب متطفل عن طريق النقر على ارتباط إلى انتحال واجهة المستخدم

الوصف: وجدت مشكلة انتحال محتوى عند التعامل مع مطالبات FaceTime. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2453: ‏xisigr من Tencent's Xuanwu Lab (tencent.com)‎

الملء التلقائي لتسجيل الدخول إلى Safari

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد يتمكن مستخدم محلي من الوصول إلى عناصر سلسلة المفاتيح المقفولة

الوصف: تمت معالجة مشكلة أثناء معالجة سلسلة المفاتيح عن طريق الإدارة المحسنّة لعنصر سلسلة المفاتيح.

CVE-2017-2385‏: Simon Woodside من MedStack

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد يؤدي سحب وإسقاط رابط متطفل إلى انتحال محتوى إشارة مرجعية أو تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة تتعلق بالتحقق من الصحة أثناء إنشاء إشارة مرجعية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2378: ‏xisigr من Tencent's Xuanwu Lab (tencent.com)‎

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: تمت معالجة مشكلة الوصول إلى النماذج الأصلية من خلال المعالجة الاستثنائية المحسّنة.

CVE-2017-2386: ‏André Bargull

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2394: ‏Apple

CVE-2017-2396: ‏Apple

CVE-2016-9642: ‏Gustavo Grieco

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2395: ‏Apple

CVE-2017-2454: ‏Ivan Fratric من Google Project Zero،‏ Zheng Huang من Baidu Security Lab يعمل مع مبادرة Zero Day Initiative من Trend Micro

CVE-2017-2455: ‏Ivan Fratric من Google Project Zero

CVE-2017-2459: ‏Ivan Fratric من Google Project Zero

CVE-2017-2460: ‏Ivan Fratric من Google Project Zero

CVE-2017-2464:‏ Jeonghoon Shin وnatashenka من Google Project Zero

CVE-2017-2465: ‏Zheng Huang وWei Yuan من Baidu Security Lab

CVE-2017-2466: ‏Ivan Fratric من Google Project Zero

CVE-2017-2468: ‏lokihardt من Google Project Zero

CVE-2017-2469: ‏lokihardt من Google Project Zero

CVE-2017-2470: ‏lokihardt من Google Project Zero

CVE-2017-2476: ‏Ivan Fratric من Google Project Zero

CVE-2017-2481: ‏0011 يعمل مع مبادرة Zero Day Initiative من Trend Micro

تم تحديث المشاركة بتاريخ 20 يونيو 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2415: ‏Kai Kang of Tencent's Xuanwu Lab (tentcent.com)‎

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى إلغاء فاعلية سياسة أمان المحتوى بشكل غير متوقع

الوصف: وجدت مشكلة في سياسة أمان المحتوى. تمت معالجة هذه المشكلة من خلال القيود المحسّنة للوصول.

CVE-2017-2419: ‏Nicolai Grødum من Cisco Systems

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى استهلاك مرتفع للذاكرة

الوصف: تمت معالجة مشكلة تتعلق باستهلاك الموارد غير المنضبط من خلال المعالجة المُحسنة لـ regex.

CVE-2016-9643: ‏Gustavo Grieco

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى الكشف عن ذاكرة المعالجة

الوصف: وجدت مشكلة تتعلق بالكشف عن معلومات عند معالجة وحدات تحكم OpenGL. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2424: ‏Paul Thomson (باستخدام الأداة GLFuzz) من Multicore Programming Group, Imperial College London

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2433: ‏Apple

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وُجد العديد من المشاكل المتعلقة بالتحقق في معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2364:‏ lokihardt من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: ربما يقوم موقع ويب ضار بالتصفية المسبقة لبيانات عبر الأصل

الوصف: وُجدت مشكلة في التحقق من الصحة أثناء معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2367: ‏lokihardt من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى البرمجة النصية العمومية بين المواقع

الوصف: وُجدت مشكلة في التعامل مع كائنات الإطار. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2017-2445: ‏lokihardt من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة منطقية في التعامل مع وظائف الوضع المقيد. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2017-2446:‏ natashenka من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تعرض معلومات المستخدم للخطر

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2447:‏ natashenka من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2463:‏ Kai Kang (4B5F5F4B)‎ من Tencent's Xuanwu Lab (tencent.com)‎:‏ يعمل مع مبادرة Zero Day من Trend Micro

تاريخ إضافة الإدخال: 28 مارس 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2471: ‏Ivan Fratric من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى البرمجة النصية العمومية بين المواقع

الوصف: وُجدت مشكلة تتعلق بالمنطق أثناء التعامل مع الإطار. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

CVE-2017-2475: ‏lokihardt من Google Project Zero

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وجدت مشكلة تتعلق بالتحقق في معالجة العنصر. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2479:‏ lokihardt من Google Project Zero

تاريخ إضافة الإدخال: 28 مارس 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وجدت مشكلة تتعلق بالتحقق في معالجة العنصر. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2480:‏ lokihardt من Google Project Zero

CVE-2017-2493: ‏lokihardt من Google Project Zero

تم تحديث الإدخال في 24 أبريل 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المُحسنة للحالة.

CVE-2017-2486: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 30 مارس 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2392‏: Max Bazaliy من Lookout

تاريخ إضافة الإدخال: 30 مارس 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2457: ‏lokihardt من Google Project Zero

تاريخ إضافة الإدخال: 30 مارس 2017

WebKit

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2017-7071:‏ ‎Kai Kang (4B5F5F4B)‎ من ‎Tencent's Xuanwu Lab (tencent.com)‎ يعمل مع مبادرة Zero Day من Trend Micro

تاريخ إضافة الإدخال: 23 أغسطس 2017

WebKit JavaScript Bindings

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وُجد العديد من المشاكل المتعلقة بالتحقق في معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2442: ‏lokihardt من Google Project Zero

WebKit Web Inspector

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد يؤدي إغلاق نافذة أثناء التوقف مؤقتًا في مصحح الأخطاء إلى إنهاء التطبيق بشكل غير متوقع

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2377: ‏Vicki Pfau

WebKit Web Inspector

متوفر لما يلي: الإصدار 10.10.5 من نظام التشغيل OS X Yosemite والإصدار 10.11.6 من نظام التشغيل OS X El Capitan والإصدار 10.12.4 من نظام التشغيل macOS Sierra

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2405: ‏Apple

تقدير آخر

Safari

يسعدنا أن نتوجّه بخالص الشكر إلى Flyin9 (ZhenHui Lee)‎ على المساعدة.

Webkit

يسعدنا أن نتوجّه بخالص الشكر إلى Yosuke HASEGAWA من شركة Secure Sky Technology Inc.‎ على المساعدة.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: