نبذة حول محتوى أمان iOS 15.2 وiPadOS 15.2

يتناول هذا المستند محتوى أمان iOS 15.2 وiPadOS 15.2.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

iOS 15.2 وiPadOS 15.2

تاريخ الإصدار: 13 ديسمبر 2021

Audio

متوفر لما يلي: iPhone 6s والإصدارات الأحدث وiPad Pro (جميع الطرازات) وiPad Air 2 والإصدارات الأحدث وiPad الجيل الخامس والإصدارات الأحدث وiPad mini 4 والإصدارات الأحدث وiPod touch (الجيل السابع)

التأثير: قد يؤدي تحليل ملف صوتي متطفّل إلى الكشف عن معلومات المستخدم

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30960:‏ JunDong Xie من Ant Security Light-Year Lab

CFNetwork Proxies

التأثير: قد تتسرب حركة مرور المستخدم بشكل غير متوقع إلى خادم وكيل بالرغم من تكوينات PAC

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30966:‏ Michal Rajcan من Jamf وMatt Vlasach من Jamf (Wandera)‎

ColorSync

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Pro (جميع الطرازات)، وiPad Air 2 والإصدارات الأحدث، وiPad الجيل الخامس والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch (الجيل السابع)

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة في معالجة ملفات تعريف ICC من خلال التحقق المحسّن من صحة الإدخال.

CVE-2021-30926:‏ Jeremy Brown

CVE-2021-30942:‏ Mateusz Jurczyk من Google Project Zero

CoreAudio

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة تجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30957:‏ JunDong Xie من Ant Security Light-Year Lab

تاريخ تحديث الإدخال: 25 مايو 2022

CoreAudio

التأثير: قد يؤدي تشغيل ملف صوتي متطفل إلى تنفيذ تعليمات برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2021-30958:‏ JunDong Xie من Ant Security Light-Year Lab

Crash Reporter

التأثير: قد يتمكن مخترق محلي من رفع امتيازاته

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30945:‏ Zhipeng Huo (@R3dF09)‎ وYuebin Sun (@yuebinsun2020)‎ من Tencent Security Xuanwu Lab (xlab.tencent.com)‎

FaceTime

التأثير: قد يتمكن مخترق لديه إمكانية الوصول الفعلي إلى جهاز من الاطلاع على معلومات الاتصال الخاصة

الوصف: وجدت مشكلة في شاشة القفل كانت تسمح بالوصول إلى جهات الاتصال على الأجهزة المقفولة. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30956: Akiva Fordsham من Rishon Group (rishon.co.uk)

تاريخ إضافة الإدخال: 25 مايو 2022

FaceTime

التأثير: قد تتسرب معلومات مستخدم حساسة من خلال بيانات تعريف "صور حية" من مستخدم يجري مكالمة فيس تايم بشكل غير متوقع

الوصف: تمت معالجة هذه المشكلة من خلال المعالجة المحسَّنة لبيانات تعريف الملف.

CVE-2021-30992:‏ Aaron Raimist

FontParser

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-31013‏: Daniel Lim Wee Soong من مختبرات STAR Labs

تاريخ إضافة الإدخال: 16 سبتمبر 2022

Game Center

التأثير: قد يتمكن تطبيق ضار من قراءة معلومات الاتصال الحساسة

الوصف: تمت معالجة مشكلة الأذونات من خلال التحقق المحسّن من الصحة.

CVE-2021-31000:‏ ‎Denis Tokarev (@illusionofcha0s)‎

تاريخ إضافة الإدخال: 25 مايو 2022

ImageIO

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30939:‏ Mickey Jin (@patch1t)‎ من Trend Micro وJaewon Min من Cisco Talos وRui Yang وXingWei Lin من Ant Security Light-Year Lab

تاريخ تحديث الإدخال: 25 مايو 2022

IOMobileFrameBuffer

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30996:‏ ‎Saar Amar (@AmarSaar)‎

IOMobileFrameBuffer

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30983: Pangu عبر Tianfu Cup

تاريخ تحديث الإدخال: 25 مايو 2022

IOMobileFrameBuffer

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30985:‏ Tielei Wang من Pangu Lab

IOMobileFrameBuffer

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30991:‏ Tielei Wang من Pangu Lab

Kernel

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة ثغرة أمنية لتلف الذاكرة من خلال القفل المحسَّن.

CVE-2021-30937:‏ Sergei Glazunov من Google Project Zero

Kernel

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2021-30927:‏ Xinru Chi من Pangu Lab

CVE-2021-30980:‏ Xinru Chi من Pangu Lab

Kernel

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30949:‏ Ian Beer من Google Project Zero

Kernel

التأثير: قد يتمكن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30993:‏ OSS-Fuzz وNed Williamson من Google Project Zero

Kernel

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30955:‏ Zweig من Kunlun Lab

Mail

التأثير: قد يتم تسريب عنوان البريد الإلكتروني الخاص بالمرسل عند إرسال بريد إلكتروني مشفر S/MIME باستخدام شهادة تحتوي على أكثر من عنوان بريد إلكتروني

الوصف: وجدت مشكلة تتعلق بـ S/MIME عند التعامل مع البريد الإلكتروني المشفر. تمت معالجة هذه المشكلة من خلال الاختيار المحسّن لشهادة التشفير.

CVE-2021-30998: Benjamin Ehrfeld من CISPA Helmholtz Center for Information Security

تاريخ إضافة الإدخال: 25 مايو 2022

Mail

التأثير: قد يتمكن مخترق من استرداد محتويات نص عادي لبريد إلكتروني مشفر نظام S/MIME

الوصف: وجدت مشكلة تتعلق بـ S/MIME عند التعامل مع البريد الإلكتروني المشفر. تمت معالجة هذه المشكلة من خلال عدم تحميل بعض أجزاء MIME تلقائيًا.

CVE-2021-30997: Damian Poddebniak من Münster University of Applied Sciences،‏ Christian Dresen من Münster University of Applied Sciences،‏ Jens Müller من Ruhr University Bochum،‏ Fabian Ising من Münster University of Applied Sciences،‏ Sebastian Schinzel من Münster University of Applied Sciences،‏ Simon Friedberger من KU Leuven،‏ Juraj Somorovsky من Ruhr University Bochum،‏ Jörg Schwenk من Ruhr University Bochum

تاريخ إضافة الإدخال: 25 مايو 2022

Messages

التأثير: قد يتمكن مستخدم ضار من مغادرة مجموعة رسائل ولكنه يستمر في تلقي الرسائل في تلك المجموعة

الوصف: تم حل مشكلة تتعلق بمعالجة عضوية المجموعة من خلال المنطق المحسّن.

CVE-2021-30943:‏ Joshua Sardella

تاريخ إضافة الإدخال: 25 مايو 2022

Model I/O

التأثير: مشكلات متعددة في HDF5

الوصف: تمت معالجة مشكلات متعددة من خلال إزالة HDF5.

CVE-2021-31009: ‏Mickey Jin (@patch1t)‎ من Trend Micro

تاريخ إضافة الإدخال: 25 مايو 2022

Model I/O

التأثير: قد تؤدي معالجة ملف USD متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30971:‏ ‎Ye Zhang (@co0py_Cat)‎ من Baidu Security

Model I/O

التأثير: قد تؤدي معالجة ملف متطفل إلى إفشاء معلومات المستخدم

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2021-30973‏: Ye Zhang‏ (‎@co0py_Cat) من Baidu Security

Model I/O

التأثير: قد تؤدي معالجة ملف USD متطفّل إلى الكشف عن محتويات الذاكرة

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30929:‏ Rui Yang وXingWei Lin من Ant Security Light-Year Lab

Model I/O

التأثير: قد تؤدي معالجة ملف USD متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30979: ‏Mickey Jin (@patch1t)‎ من Trend Micro

Model I/O

التأثير: قد تؤدي معالجة ملف USD متطفّل إلى الكشف عن محتويات الذاكرة

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30940:‏ Rui Yang وXingWei Lin من Ant Security Light-Year Lab

CVE-2021-30941:‏ Rui Yang وXingWei Lin من Ant Security Light-Year Lab

NetworkExtension

التأثير: قد يتمكّن مخترق محلي من قراءة معلومات حساسة

الوصف: تمت معالجة مشكلة الأذونات من خلال التحقق المحسّن من الصحة.

CVE-2021-30967:‏ ‎Denis Tokarev (@illusionofcha0s)‎

NetworkExtension

التأثير: قد يتمكن تطبيق ضار من تحديد التطبيقات الأخرى التي قام أحد المستخدمين بتثبيتها

الوصف: تمت معالجة مشكلة الأذونات من خلال التحقق المحسّن من الصحة.

CVE-2021-30988:‏ ‎Denis Tokarev (@illusionofcha0s)‎

Notes

التأثير: قد يتسنى لشخص لديه إمكانية الوصول الفعلي إلى جهاز iOS الوصول إلى جهات الاتصال من خلال شاشة القفل

الوصف: تمت معالجة المشكلة من خلال منطق الأذونات المحسّن.

CVE-2021-30932:‏ Kevin Böttcher

Password Manager

التأثير: قد يتسنى لشخص لديه إمكانية الوصول الفعلي إلى جهاز iOS الوصول إلى كلمات السر المخزنة دون مصادقة

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30948:‏ Patrick Glogner

Preferences

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة حالة تعارض من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30995‏: Mickey Jin ‏(@patch1t) من Trend Micro، وMickey Jin ‏(@patch1t)

Sandbox

التأثير: قد يتمكن أحد التطبيقات المتطفّلة من تجاوز بعض تفضيلات "الخصوصية"

الوصف: تمت معالجة مشكلة التحقق المتعلقة بسلوك الارتباط الثابت من خلال قيود وضع الحماية المحسّنة.

CVE-2021-30968:‏ Csaba Fitzl (@theevilbit)‎ من Offensive Security

Sandbox

التأثير: قد يتمكن أحد التطبيقات المتطفّلة من تجاوز بعض تفضيلات "الخصوصية"

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2021-30946: @gorelics وRon Masas من BreakPoint.sh

تمت إضافة الإدخال في 11 مايو 2023

Sandbox

التأثير: قد يتمكن تطبيق من الوصول إلى ملفات المستخدم

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.

CVE-2021-30947:‏ Csaba Fitzl (@theevilbit)‎ من Offensive Security

SQLite

التأثير: قد يتمكن تطبيق ضار من الوصول إلى البيانات من تطبيقات أخرى عن طريق تمكين التسجيل الإضافي

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30944:‏ Wojciech Reguła (@_r3ggi)‎ من SecuRing

تاريخ إضافة الإدخال: 25 مايو 2022

TCC

التأثير: قد يتمكن مستخدم محلي من تعديل أجزاء محمية من نظام الملفات

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30767‏: @gorelics

TCC

التأثير: قد يتمكّن أحد التطبيقات الضارة من تجاوز تفضيلات "الخصوصية"

الوصف: تمت معالجة مشكلة متعلقة بالأذونات المضمّنة من خلال وضع قيود إضافية.

CVE-2021-30964:‏ Andy Grant من Zoom Video Communications

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30934:‏ Dani Biro

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2021-30936:‏ Chijin Zhou من ShuiMuYuLin Ltd وTsinghua wingtecher lab

CVE-2021-30951:‏ Pangu من خلال Tianfu Cup

تاريخ تحديث الإدخال: 25 مايو 2022

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2021-30952:‏ ‎@18f و‎@jq0904 من weibin lab التابع لـ DBAPP Security من خلال Tianfu Cup

تاريخ تحديث الإدخال: 25 مايو 2022

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة حالة تعارض من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30984:‏ Kunlun Lab من خلال Tianfu Cup

تاريخ تحديث الإدخال: 25 مايو 2022

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30953:‏ Jianjun Dai من ‎360 Vulnerability Research Institute من خلال Tianfu Cup

تاريخ تحديث الإدخال: 25 مايو 2022

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30954:‏ Kunlun Lab من خلال Tianfu Cup

تاريخ تحديث الإدخال: 25 مايو 2022

تقدير آخر

Bluetooth

يسعدنا أن نتوجّه بخالص الشكر إلى Haram Park، من Korea University على تقديم المساعدة لنا.

CloudKit

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Ryan Pickren (ryanpickren.com)‎ على تقديم المساعدة لنا.

ColorSync

يسعدنا أن نتوجّه بخالص الشكر إلى Mateusz Jurczyk من Google Project Zero على تقديم المساعدة لنا.

Contacts

يسعدنا أن نتوجّه بخالص الشكر إلى Minchan Park (03stin)‎ على تقديم المساعدة لنا.

CoreText

يسعدنا أن نتوجّه بخالص الشكر إلى Yuto Sakata من Osaka Institute of Technology وباحث غير معلوم الهوية على تقديم المساعدة لنا.

Kernel

يسعدنا أن نتوجّه بخالص الشكر إلى Amit Klein من Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security (مركز جامعة بار إيلان للأبحاث في التشفير التطبيقي والأمن السيبراني) على تقديم المساعدة لنا.

Model I/O

يسعدنا أن نتوجّه بخالص الشكر إلى Rui Yang وXingwei Lin من Ant Security Light-Year Lab على تقديم المساعدة لنا.

Password Manager

يسعدنا أن نتوجّه بخالص الشكر إلى Pascal Wagler على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 25 مايو 2022

VisionKit

يسعدنا أن نتوجّه بخالص الشكر إلى Adam Kowalski من XIII LO im. płk. Leopolda Lisa-Kuli w Warszawie على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 25 مايو 2022

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى Peter Snyder من Brave وSoroush Karami على تقديم المساعدة لنا.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: 31 أكتوبر 2023