نبذة حول محتوى أمان نظام التشغيل iOS 10.3

يتناول هذا المستند محتوى الأمان لنظام التشغيل iOS 10.3.

معلومات حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير اتصالاتك مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

iOS 10.3

تم الإصدار في 27 مارس 2017

الحسابات

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكن مستخدم من الاطلاع على Apple ID من شاشة القفل

الوصف: تمت معالجة مشكلة إدارة مطالبة من خلال إزالة مطالبات مصادقة iCloud من شاشة القفل.

CVE-2017-2397:‏ Suprovici Vadim من فريق UniApps، باحث غير معلوم الهوية

الصوت

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2430: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

CVE-2017-2462: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

Carbon

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف dfont. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2017-2379: ‏John Villamil وDoyensec وriusksk (泉哥)‎ من Tencent Security Platform Department

CoreGraphics

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفلة إلى رفض الخدمة

الوصف: تمت معالجة مشكلة تتعلق بالتكرار اللانهائي من خلال الإدارة المُحسنة للحالة.

CVE-2017-2417:‏ riusksk (泉哥)‎ من Tencent Security Platform Department

CoreGraphics

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2444: ‏Mei Wang من 360 GearTeam

CoreText

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2435: ‏John Villamil،‏ Doyensec

CoreText

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2450: ‏John Villamil،‏ Doyensec

CoreText

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة رسالة نصية متطفّلة إلى رفض التطبيق للخدمة

الوصف: تمت معالجة مشكلة استنفاذ المورد من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2461: ‏Isaac Archambault من IDAoADI، باحث غير معلوم الهوية

DataAccess

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي تكوين حساب Exchange من خلال عنوان بريد إلكتروني يوجد خطأ في كتابته إلى التوجيه إلى خادم غير متوقع

الوصف: وجدت مشكلة تتعلق بالتحقق من صحة الإدخال أثناء معالجة عناوين البريد الإلكتروني لـ Exchange. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2414: ‏Ilya Nesterov وMaxim Goncharov

FontParser

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2487:‏ riusksk (泉哥)‎‏ من Tencent Security Platform Department

CVE-2017-2406:‏ riusksk (泉哥)‎‏ من Tencent Security Platform Department

FontParser

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي تحليل ملف خط متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2407:‏ ‏riusksk (泉哥)‎ من Tencent Security Platform Department

FontParser

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2439: ‏John Villamil،‏ Doyensec

HomeKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يظهر التحكم الرئيسي بشكل غير متوقع في "مركز التحكم"

الوصف: وجدت مشكلة تتعلق بالتعامل مع "التحكم الرئيسي". تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2434: ‏Suyash Narain من الهند

HTTPProtocol

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكن خادم HTTP/2 ضار من التسبب في سلوك غير معروف

الوصف: وجدت عدة المشاكل في إصدارات nghttp1.17.0 التي تسبق 2. وقد تمت معالجة هذه المشاكل بتحديث nghttp2 إلى الإصدار 1.17.0.

CVE-2017-2428

تم تحديث الإدخال في 28 مارس 2017

ImageIO

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2416:‏ Qidan He (何淇丹, @flanker_hqd)‎ من KeenLab وTencent

ImageIO

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي عرض ملف JPEG متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2432: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

ImageIO

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2467

ImageIO

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفلة إلى إنهاء التطبيق بشكل غير متوقع

الوصف: وجدت مشكلة تتعلق بقراءة غير مسموح بها في إصدارات LibTIFF قبل الإصدار 4.0.7. وتمت معالجة هذه المشكلة من خلال تحديث LibTIFF في ImageIO إلى الإصدار 4.0.7.

CVE-2016-3619

iTunes Store

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير:قد يتمكّن مخترق يمتلك موضع شبكة متميزًا من العبث بحركة المرور على شبكة iTunes

الوصف: تم إرسال طلبات إلى خدمات ويب في وضع الحماية الخاص بتطبيق iTunes بنص غير مشفَّر. وقد تمت معالجة هذا الأمر بتمكين HTTPS.

CVE-2017-2412:‏ Richard Shupak (linkedin.com/in/rshupak)‎

JavaScriptCore

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2491:‏ Apple

تمت إضافة الإدخال في 2 مارس 2017

JavaScriptCore

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة صفحة ويب متطفلة إلى البرمجة النصية العمومية بين المواقع

الوصف: تمت معالجة مشكلة النماذج الأصلية من خلال المنطق المحسّن.

CVE-2017-2492:‏ lokihardt من Google Project Zero

تم تحديث الإدخال في 24 أبريل 2017

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2398: ‏Lufeng Li من فريق Qihoo 360 Vulcan Team

CVE-2017-2401: ‏Lufeng Li من فريق Qihoo 360 Vulcan Team

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2440: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة مشكلة حالة تعارض من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2456: ‏lokihardt من Google Project Zero

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2472: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2473: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة الخطأ "off-by-one" من خلال التحقق المحسّن من الحدود.

CVE-2017-2474: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض من خلال القفل المحسن.

CVE-2017-2478: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2482: ‏Ian Beer من Google Project Zero

CVE-2017-2483: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام الامتيازات الكاملة

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2490:‏ Ian Beer من Google Project Zero وThe UK's National Cyber Security Centre (‏NCSC)

تمت إضافة الإدخال في 31 مارس 2017

لوحات المفاتيح

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.

CVE-2017-2458: ‏Shashank (@cyberboyIndia)‎

سلسلة المفاتيح

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يستطيع مخترق بإمكانه اعتراض اتصالات TLS قراءة أسرار محمية بسلسلة مفاتيح iCloud.

الوصف: فشلت سلسلة مفاتيح iCloud في بعض الحالات في التحقق من صحة حزم OTR. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2448: ‏Alex Radocea من Longterm Security, Inc.

تم تحديث الإدخال في 30 مارس 2017

libarchive

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن مهاجم محلي من تغيير أذونات نظام الملف على دلائل عشوائية

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.

CVE-2017-2390: ‏Omer Medan من enSilo Ltd

libc++abi

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي إبطال تطبيق ‎C++‎ ضار إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2441

libxslt

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: وجدت العديد من الثغرات الأمنية في libxslt

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-5029:‏ Holger Fuhrmannek

تمت إضافة الإدخال في 28 مارس 2017

Pasteboard

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: يمكن للشخص الذي يتمتع بإمكانية الوصول الفعلي إلى جهاز iOS قراءة اللوحة المؤقتة

الوصف: تم تشفير اللوحة المؤقتة من خلال مفتاح محمي فقط من خلال المعرّف الفريد للأجهزة. وتمت معالجة هذه المشكلة من خلال تشفير اللوحة المؤقتة باستخدام مفتاح محمي بواسطة المعرّف الفريد للأجهزة ورمز دخول المستخدم.

CVE-2017-2399

الهاتف

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكن طرف خارجي من إجراء مكالمة هاتفية بدون تدخل من المستخدم

الوصف: وجدت مشكلة في سماح iOS بإجراء مكالمات بدون مطالبة.  وتمت معالجة هذه المشكلة من خلال مطالبة المستخدم بتأكيد بدء الاتصال.

CVE-2017-2484

ملفات التعريف

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكن أحد المخترقين من استغلال نقطة الضعف في خوارزمية تشفير الرسوم DES.

الوصف: تمت إضافة دعم لخوارزمية تشفير ‎3DES إلى عميل SCEP، كما تم تعطيل DES.

CVE-2017-2380: باحث غير معلوم الهوية

معاينة سريعة

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي النقر فوق رابط هاتف في مستند PDF إلى تشغيل مكالمة بدون مطالبة المستخدم

الوصف: وجدت مشكلة عند التحقق من عنوان URL قبل بدء المكالمات. تم التصدي لهذه المشكلة من خلال إضافة طلب تكوين.

CVE-2017-2404: ‏Tuan Anh Ngo (Melbourne, Australia)‎،‏ Christoph Nehring

Safari

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: تمت معالجة مشكلة تتعلق بإدارة الحالة من خلال تعطيل إدخال النص حتى تحميل صفحة الوجهة.

CVE-2017-2376: باحث غير معلوم الهوية،‏ Michal Zalewski من Google Inc،‏ Muneaki Nishimura (nishimunea)‎ من Recruit Technologies Co., Ltd.‎،‏ Chris Hlady من Google Inc، باحث غير معلوم الهوية، Yuyang Zhou من Tencent Security Platform Department (security.tencent.com)‎

Safari

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكن مستخدم محلي من اكتشاف مواقع الويب التي زارها المستخدم في وضع "التصفح الخاص"

الوصف: وجدت مشكلة في حذف SQLite. وتمت معالجة هذه المشكلة من خلال التنظيف المحسن لـ SQLite.

CVE-2017-2384

Safari

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى وجود أوراق اعتماد عبر مواقع الويب العشوائية

الوصف: وجدت مشكلة انتحال المحتوى ورفض الخدمة عند استخدام مصادقة HTTP. وتمت معالجة هذه المشكلة من خلال جعل مصادقة HTTP للأوراق بدون صيغة.

CVE-2017-2389: ‏ShenYeYinJiu من Tencent Security Response Center،‏ TSRC

Safari

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

الأثر: قد تؤدي زيارة موقع ويب متطفل عن طريق النقر فوق ارتباط إلى انتحال واجهة المستخدم

الوصف: وجدت مشكلة انتحال محتوى عند التعامل مع مطالبات FaceTime. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2453: ‏xisigr من Tencent's Xuanwu Lab (tencent.com)‎

قارئ Safari

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير:يؤدي تمكين قارئ Safari في موقع ويب ضار إلى مشكة عامة تتعلق بالبرمجة النصية بين المواقع

الوصف: تمت معالجة مشاكل متعددة تتعلق بالتحقق من خلال الإبراء المحسّن.

CVE-2017-2393: ‏Erling Ellingsen

SafariViewController

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: لم يتم الاحتفاظ بمزامنة حالة ذاكرة التخزين المؤقت بين Safari وSafariViewController بطريقة سليمة عند قيام المستخدم بمسح ذاكرة التخزين المؤقت لـ Safari.

الوصف: وجدت مشكلة في مسح معلومات ذاكرة التخزين المؤقت من SafariViewController.  وتمت معالجة هذه المشكلة عن طريق تحسين التعامل مع حالة ذاكرة التخزين المؤقت.

CVE-2017-2400: ‏Abhinav Bansal من Zscaler, Inc.

Sandbox Profiles

متوفر لما يلي: iPhone 5 وأحدث وiPad الجيل الرابع وأحدث وiPod touch الجيل السادس

التأثير: قد يتمكن تطبيق متطفل من الوصول إلى سجل مستخدم iCloud لمستخدم قام بتسجيل دخوله

الوصف: تمت معالجة مشكلة تتعلق بالوصول عبر فرض مزيد من قيود وضع الأمان على التطبيقات من جهات خارجية.

CVE-2017-6976:‏ George Dan (@theninjaprawn)‎

تاريخ إضافة الإدخال: 1 أغسطس 2017

الأمان

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد ينجح التحقق من صحة التواقيع الخالية من خلال SecKeyRawVerify()‎ بشكل غير متوقع

الوصف: وجدت مشكلة تتعلق بالتحقق من الصحة مع مكالمات API المشفرة. وتمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة المعلمة.

CVE-2017-2423: باحث غير معلوم الهوية

الأمان

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.

CVE-2017-2451: ‏Alex Radocea من Longterm Security, Inc.

الأمان

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة شهادة x509 متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة تتعلق بتلف ذاكرة في تحليل الشهادات. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2485: ‏Aleksandar Nikolic من Cisco Talos

Siri

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يكشف Siri عن محتوى الرسالة النصية أثناء قفل الجهاز

الوصف: تمت معالجة مشكلة تتعلق بعدم كفاية القفل عبر الإدارة المحسّنة للحالة.

CVE-2017-2452: ‏Hunter Byrnes

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي سحب وإسقاط رابط متطفل إلى انتحال محتوى إشارة مرجعية أو تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة تتعلق بالتحقق من الصحة أثناء إنشاء إشارة مرجعية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2378: ‏xisigr من Tencent's Xuanwu Lab (tencent.com)‎

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المُحسنة للحالة.

CVE-2017-2486: ‏redrain من light4freedom

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: تمت معالجة مشكلة الوصول إلى النماذج الأصلية من خلال المعالجة الاستثنائية المحسّنة.

CVE-2017-2386: ‏André Bargull

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشكلات المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2394: ‏Apple

CVE-2017-2396: ‏Apple

CVE-2016-9642: ‏Gustavo Grieco

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2395: ‏Apple

CVE-2017-2454: ‏Ivan Fratric من Google Project Zero، Zheng Huang من Baidu Security Lab يعمل مع مبادرة Zero Day Initiative من Trend Micro

CVE-2017-2455: ‏Ivan Fratric من Google Project Zero

CVE-2017-2457: ‏lokihardt من Google Project Zero

CVE-2017-2459: ‏Ivan Fratric من Google Project Zero

CVE-2017-2460: ‏Ivan Fratric من Google Project Zero

CVE-2017-2464:‏ Jeonghoon Shin،‏ Natalie Silvanovich من Google Project Zero

CVE-2017-2465: ‏Zheng Huang وWei Yuan من Baidu Security Lab

CVE-2017-2466: ‏Ivan Fratric من Google Project Zero

CVE-2017-2468: ‏lokihardt من Google Project Zero

CVE-2017-2469: ‏lokihardt من Google Project Zero

CVE-2017-2470: ‏lokihardt من Google Project Zero

CVE-2017-2476: ‏Ivan Fratric من Google Project Zero

CVE-2017-2481: ‏0011 يعمل مع مبادرة Zero Day Initiative من Trend Micro

تم تحديث المشاركة بتاريخ 20 يونيو 2017

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2415: ‏Kai Kang of Tencent's Xuanwu Lab (tentcent.com)‎

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى إلغاء فاعلية سياسة أمان المحتوى بشكل غير متوقع

الوصف: وجدت مشكلة في سياسة أمان المحتوى.  تمت معالجة هذه المشكلة من خلال القيود المحسّنة للوصول.

CVE-2017-2419: ‏Nicolai Grødum من Cisco Systems

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى استهلاك مرتفع للذاكرة

الوصف: تمت معالجة مشكلة تتعلق باستهلاك الموارد غير المنضبط من خلال المعالجة المُحسنة لـ regex.

CVE-2016-9643: ‏Gustavo Grieco

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى الكشف عن ذاكرة المعالجة

الوصف: وجدت مشكلة تتعلق بالكشف عن معلومات عند معالجة وحدات تحكم OpenGL. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2424: ‏Paul Thomson (باستخدام الأداة GLFuzz) من Multicore Programming Group, Imperial College London

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2433: ‏Apple

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وُجد العديد من المشكلات المتعلقة بالتحقق في معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2364:‏ lokihardt من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: ربما يقوم موقع ويب ضار بالتصفية المسبقة لبيانات عبر الأصل

الوصف: وُجدت مشكلة في التحقق من الصحة أثناء معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2367: ‏lokihardt من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى البرمجة النصية العمومية بين المواقع

الوصف: وُجدت مشكلة في التعامل مع كائنات الإطار. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2017-2445: ‏lokihardt من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة منطقية في التعامل مع وظائف الوضع المقيد. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2017-2446: ‏Natalie Silvanovich من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تعرض معلومات المستخدم للخطر

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2447: ‏Natalie Silvanovich من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2463:‏ Kai Kang (‏4B5F5F4B) من Tencent's Xuanwu Lab (‏tencent.com‏):‏ يعمل مع مبادرة Zero Day من Trend Micro

تمت إضافة الإدخال في 28 مارس 2017

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2471: ‏Ivan Fratric من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى البرمجة النصية العمومية بين المواقع

الوصف: وُجدت مشكلة تتعلق بالمنطق أثناء التعامل مع الإطار. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

CVE-2017-2475: ‏lokihardt من Google Project Zero

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وجدت مشكلة تتعلق بالتحقق في معالجة العنصر. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2479:‏ lokihardt من Google Project Zero

تمت إضافة الإدخال في 28 مارس 2017

WebKit

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وجدت مشكلة تتعلق بالتحقق في معالجة العنصر. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2480:‏ lokihardt من Google Project Zero

CVE-2017-2493: ‏lokihardt من Google Project Zero

تم تحديث الإدخال في 24 أبريل 2017

WebKit JavaScript Bindings

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وُجد العديد من المشكلات المتعلقة بالتحقق في معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2442: ‏lokihardt من Google Project Zero

WebKit Web Inspector

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد يؤدي إغلاق نافذة أثناء التوقف مؤقتًا في مصحح الأخطاء إلى إنهاء التطبيق بشكل غير متوقع

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2377: ‏Vicki Pfau

WebKit Web Inspector

متوفر لما يلي: iPhone 5 والإصدارات الأحدث وiPad من الجيل الرابع والإصدارات الأحدث وiPod touch من الجيل السادس والإصدارات الأحدث

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2405: ‏Apple

تقدير آخر

XNU

يسعدنا أن نتوجّه بخالص الشكر إلى Lufeng Li من فريق Qihoo 360 Vulcan Team على المساعدة.

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى Yosuke HASEGAWA من شركة Secure Sky Technology Inc.‎ على المساعدة.

Safari

يسعدنا أن نتوجّه بخالص الشكر إلى Flyin9 (ZhenHui Lee)‎ على المساعدة.

الإعدادات

يسعدنا أن نتوجّه بخالص الشكر إلى Adi Sharabani وYair Amit من Skycure على المساعدة.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: