نبذة عن محتوى أمان iOS 16.4 وiPadOS 16.4

يتناول هذا المستند محتوى أمان iOS 16.4 وiPadOS 16.4.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

iOS 16.4 وiPadOS 16.4

تاريخ الإصدار: 27 مارس 2023

Accessibility

متوفر لما يلي: iPhone 8 والأحدث، iPad Pro (جميع الطرازات)، وiPad Air الجيل الثالث والأحدث، وiPad الجيل الخامس والأحدث، وiPad mini الجيل الخامس والأحدث

التأثير: قد يتمكن أحد التطبيقات من الوصول إلى معلومات حول جهات اتصال المستخدم

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2023-23541:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

App Store

التأثير: قد يتمكن أحد التطبيقات من قراءة معلومات الموقع الحساسة

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2023-42830: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 31 أكتوبر 2023

Apple Neural Engine

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-23540:‏ ‎Mohamed GHANNAM (@_simo36)‎

CVE-2023-27959:‏ ‎Mohamed GHANNAM (@_simo36)‎

Apple Neural Engine

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2023-27970‏: Mohamed GHANNAM

Apple Neural Engine

التأثير: قد يتمكن أحد التطبيقات من اختراق وضع حمايته

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2023-23532:‏ ‎Mohamed Ghannam (@_simo36)‎

AppleMobileFileIntegrity

التأثير: قد يتمكن مستخدم ما من الوصول إلى أجزاء محمية من نظام الملفات

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

CVE-2023-23527: Mickey Jin (@patch1t)

AppleMobileFileIntegrity

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2023-27931: Mickey Jin (@patch1t)

Calendar

التأثير: قد يتسبب استيراد دعوة تقويم متطفلة إلى التصفية المسبقة لمعلومات المستخدم

الوصف: تمت معالجة مشاكل متعددة تتعلق بالتحقق من خلال الإبراء المحسّن.

CVE-2023-27961: ‏‎Rıza Sabuncu (@rizasabuncu)‎

Camera

التأثير: قد يتمكن تطبيق وضع الحماية من تحديد التطبيق الذي يستخدم الكاميرا حاليًا

الوصف: تمت معالجة المشكلة بقيود إضافية على إمكانية ملاحظة حالات التطبيق.

CVE-2023-23543:‏ Yiğit Can YILMAZ (@yilmazcanyigit)‎

CarPlay

التأثير: قد يتمكّن مستخدم يتمتع بمنصب ذي امتيازات في الشبكة من التسبب في رفض للخدمة

الوصف: تمت معالجة تجاوز سعة التخزين المؤقت من خلال التحقق المُحسّن من الحدود.

CVE-2023-23494‏: Itay Iellin من General Motors Product Cyber Security

ColorSync

التأثير: قد يتمكن التطبيق من قراءة الملفات العشوائية

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

CVE-2023-27955:‏ JeongOhKyea

Core Bluetooth

التأثير: قد تؤدي معالجة حزمة Bluetooth ضارة إلى الكشف عن ذاكرة المعالجة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2023-23528:‏ Jianjun Dai وGuang Gong من ‎360 Vulnerability Research Institute

CoreCapture

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-28181:‏ Tingting Yin من Tsinghua University

Find My

التأثير: قد يتمكن أحد التطبيقات من قراءة معلومات الموقع الحساسة

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2023-28195: Adam M.

CVE-2023-23537: Adam M.

تاريخ تحديث الإدخال: 21 ديسمبر 2023

FontParser

التأثير: قد تؤدي معالجة أحد ملفات الخطوط إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة الكتابة غير المسموح بها من خلال التحقق المحسّن من صحة الإدخال.

CVE-2023-32366: Ye Zhang (@VAR10CK) من Baidu Security

تاريخ إضافة الإدخال: 31 أكتوبر 2023

FontParser

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-27956: Ye Zhang (@VAR10CK) من Baidu Security

تاريخ تحديث الإدخال: 31 أكتوبر 2023

Foundation

التأثير: قد يؤدي تحليل قائمة الخصائص (plist) المتطفّلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2023-27937: باحث غير معلوم الهوية

iCloud

التأثير: قد يتمكن ملف من مجلد تمت مشاركته من خلالي على iCloud من تجاوز "الحارس الرقمي"

الوصف: تمت معالجة هذا الأمر من خلال عمليات تحقق إضافية أجراها "الحارس الرقمي" على ملفات تم تنزيلها من مجلد تمت مشاركته من خلالي على iCloud.

CVE-2023-23526:‏ Jubaer Alnazi من TRS Group of Companies

Identity Services

التأثير: قد يتمكن أحد التطبيقات من الوصول إلى معلومات حول جهات اتصال المستخدم

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية من خلال تحسين تنقيح البيانات الخاصة لإدخالات السجل.

CVE-2023-27928:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

ImageIO

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-23535:‏ ryuzaki

ImageIO

التأثير: قد تؤدي معالجة صورة متطفلة إلى الكشف عن ذاكرة المعالجة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2023-27929:‏ Meysam Firouzi (@R00tkitSMM) من Mbition Mercedes-Benz Innovation Lab وjzhu يعمل مع Trend Micro Zero Day Initiative

ImageIO

التأثير: قد تؤدي معالجة صورة إلى الكشف عن ذاكرة المعالجة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2023-42862: Meysam Firouzi (@R00tkitSMM) من Mbition Mercedes-Benz Innovation Lab

CVE-2023-42865: jzhu working بالاشتراك مع مبادرة Zero Day Initiative وMeysam Firouzi (@R00tkitSMM) من Mbition Mercedes-Benz Innovation Lab

تاريخ إضافة الإدخال: 21 ديسمبر 2023

Kernel

التأثير: قد يتمكن مستخدم من التسبب في رفض إحدى الخدمات

الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2023-28187: Pan ZhenPeng (@Peterpan0927) من STAR Labs SG Pte. Ltd.

تاريخ إضافة الإدخال: 31 أكتوبر 2023

Kernel

التأثير: قد يتمكن تطبيق من التسبب في رفض إحدى الخدمات

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2023-28185: Pan ZhenPeng من STAR Labs SG Pte. Ltd.

تاريخ إضافة الإدخال: 31 أكتوبر 2023

Kernel

التأثير: قد يتمكن مخترق تمكن من تنفيذ تعليمة برمجية في kernel بالفعل من تجاوز عمليات تخفيف ذاكرة kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-32424: Zechao Cai (@Zech4o) من Zhejiang University

تاريخ إضافة الإدخال: 31 أكتوبر 2023

Kernel

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2023-27969:‏ Adam Doupé من ASU SEFCOM

Kernel

التأثير: قد يتمكن تطبيق يتمتع بامتيازات الجذر من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال المعالجة المُحسَّنة للذاكرة.

CVE-2023-27933:‏ sqrtpwn

Kernel

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة من الحدود.

CVE-2023-23536: Félix Poulin-Bélanger وأيضًا David Pan Ogea

تاريخ إضافة الإدخال: 1 مايو 2023، تاريخ التحديث: 31 أكتوبر 2023

LaunchServices

التأثير: قد لا يتم تطبيق علامة العزل على الملفات التي تم تنزيلها من الإنترنت

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2023-27943: باحث غير معلوم الهوية وBrandon Dalton (@partyD0lphin) من Red Canary وأيضًا Milan Tenk وArthur Valiev من F-Secure Corporation

تاريخ تحديث الإدخال: 31 أكتوبر 2023

LaunchServices

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات الجذر

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2023-23525: Mickey Jin (@patch1t)

libpthread

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال عمليات تحقق محسَّنة.

CVE-2023-41075: Zweig من Kunlun Lab

تاريخ إضافة الإدخال: 21 ديسمبر 2023

Magnifier

التأثير: قد يتمكن شخص لديه إمكانية الوصول الفعلي إلى جهاز iOS من الوصول إلى آخر صورة تم استخدامها في "المكبر" من شاشة القفل

الوصف: تمت معالجة هذه المشكلة من خلال تقييد الخيارات المتوفرة في الأجهزة المقفولة.

CVE-2022-46724:‏ ‎Abhay Kailasia (@abhay_kailasia)‎ من Lakshmi Narain College Of Technology Bhopal

تمت إضافة الإدخال في 1 أغسطس 2023

NetworkExtension

التأثير: قد يتمكّن مستخدم يتمتع بمنصب ذي امتيازات في الشبكة من انتحال سيرفر VPN الذي تم تكوينه بواسطة مصادقة EAP فقط على أحد الأجهزة

الوصف: تمت معالجة المشكلة من خلال المصادقة المحسّنة.

CVE-2023-28182:‏ Zhuowei Zhang

Photos

التأثير: يمكن عرض الصور التي تنتمي إلى "ألبوم الصور المخفية" بدون مصادقة من خلال Visual Lookup (البحث العام المرئي)

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2023-23523:‏ developStorm

Podcasts

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

CVE-2023-27942: Mickey Jin (@patch1t)

Safari

التأثير: قد يتمكن تطبيق ما بشكل غير متوقع من إنشاء إشارة مرجعية على الشاشة الرئيسية

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

CVE-2023-28194‏: Anton Spivak

Sandbox

التأثير: قد يتمكن أحد التطبيقات من تجاوز تفضيلات الخصوصية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال التحقق المحسّن من الصحة.

CVE-2023-28178:‏ Yiğit Can YILMAZ (@yilmazcanyigit)‎

Shortcuts

التأثير: قد يكون الاختصار قادرًا على استخدام بيانات حساسة مع إجراءات معينة دون مطالبة المستخدم

الوصف: تمت معالجة المشكلة من خلال فحوصات أذونات إضافية.

CVE-2023-27963:‏ Jubaer Alnazi Jabin of TRS Group من Companies وWenchao Li وXiaolong Bai من Alibaba Group

TCC

التأثير: قد يتمكن التطبيق من الوصول إلى بيانات المستخدم الحساسة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2023-27931: Mickey Jin (@patch1t)

TextKit

التأثير: قد يتمكن مستخدم عن بُعد من التسبب في رفض إحدى الخدمات

الوصف: تمت معالجة مشكلة متعلقة برفض إحدى الخدمات من خلال التحقق المحسّن من صحة الإدخال.

CVE-2023-28188: Xin Huang (@11iaxH)

تاريخ إضافة الإدخال: 31 أكتوبر 2023

WebKit

التأثير: قد تفشل سياسة أمان المحتوى من حظر النطاقات التي تحتوي على بطاقات البدل

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال التحقق المحسّن من الصحة.

WebKit Bugzilla: 250709
CVE-2023-32370: Gertjan Franken من imec-DistriNet, KU Leuven

تاريخ إضافة الإدخال: 31 أكتوبر 2023

WebKit

التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

WebKit Bugzilla:‏ 250429
CVE-2023-28198:‏ hazbinhotel بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تمت إضافة الإدخال في 1 أغسطس 2023

WebKit

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

WebKit Bugzilla: 247289
CVE-2022-46725:‏ Hyeon Park (@tree_segment) من Team ApplePIE

تاريخ إضافة الإدخال: 1 أغسطس 2023، تاريخ التحديث: 21 ديسمبر 2023

WebKit

التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية. Apple على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط ضد إصدارات iOS التي تم إصدارها قبل iOS 15.7.

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

WebKit Bugzilla:‏ 251890
CVE-2023-32435:‏ Georgy Kucherin (@kucher1n) وLeonid Bezvershenko (@bzvr_) وBoris Larin (@oct0xor) وValentin Pashkov من Kaspersky

تاريخ إضافة الإدخال: 21 يونيه 2023، وتاريخ تحديثه: 1 أغسطس 2023

WebKit

التأثير: قد تتجاوز معالجة محتوى ويب متطفل "سياسة الأصل نفسه"

الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

WebKit Bugzilla:‏ 248615
CVE-2023-27932:‏ باحث غير معلوم الهوية

WebKit

التأثير: قد يتمكّن موقع ويب من تعقّب معلومات المستخدم الحساسة

الوصف: تمت معالجة المشكلة من خلال إزالة معلومات المصدر.

WebKit Bugzilla:‏ 250837
CVE-2023-27954:‏ باحث غير معلوم الهوية

WebKit

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

WebKit Bugzilla: 247287
CVE-2022-46705:‏ Hyeon Park (@tree_segment)‎ من Team ApplePIE

تاريخ إضافة الإدخال: 1 مايو 2023، تاريخ التحديث: 21 ديسمبر 2023

WebKit

التأثير: قد تؤدي معالجة الملف إلى رفض الخدمة أو إمكانية الكشف عن محتويات الذاكرة

الوصف: تمت معالجة المشكلة من خلال عمليات التحقق المحسَّنة.

WebKit Bugzilla: 249434
CVE-2014-1745: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 21 ديسمبر 2023

WebKit PDF

التأثير: قد تؤدي معالجة محتوى ويب إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال عمليات تحقق محسَّنة.

WebKit Bugzilla:‏ 249169
CVE-2023-32358: باحث غير معلوم الهوية بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تمت إضافة الإدخال في 1 أغسطس 2023

WebKit Web Inspector

التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2023-28201:‏ Dohyun Lee‏ (@l33d0hyun)، crixer‏ (@pwning_me) من SSD Labs

تمت إضافة الإدخال في 1 مايو 2023

تقدير آخر

Activation Lock

يسعدنا أن نتوجّه بخالص الشكر إلى Christian Mina على تقديم المساعدة لنا.

CFNetwork

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.

Core Location

يسعدنا أن نتوجّه بخالص الشكر إلى IL وDiego Carvalho وHamza Toğmuş وLiang Liu وAlex Tippets وWGM وDennis وDalton Gould وAlejandro Tejada Borges وCosmin Iconaru وChase Bigsby وBikesh Bimali وCal Rookard وBashar Ajlani وRobert Kott على تقديم المساعدة لنا.

تمت إضافة الإدخال في 1 مايو 2023

CoreServices

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Mickey Jin (@patch1t)‎ على تقديم المساعدة لنا.

file_cmds

يسعدنا أن نتوجّه بخالص الشكر إلى Lukas Zronek على تقديم المساعدة لنا.

Heimdal

يسعدنا أن نتوجّه بخالص الشكر إلى Evgeny Legerov من Intevydis على تقديم المساعدة لنا.

ImageIO

يسعدنا أن نتوجّه بخالص الشكر إلى Meysam Firouzi @R00tkitSMM على تقديم المساعدة لنا.

lldb

يسعدنا أن نتوجّه بخالص الشكر إلى James Duffy (mangoSecure) على تقديم المساعدة لنا.

تمت إضافة الإدخال في 1 مايو 2023

Mail

يسعدنا أن نتوجّه بخالص الشكر إلى Chen Zhang وFabian Ising من جامعة FH Münster للعلوم التطبيقية وDamian Poddebniak من جامعة FH Münster للعلوم التطبيقية وTobias Kappert من جامعة Münster للعلوم التطبيقية وكريستوف ساتجوهان من جامعة Münster للعلوم التطبيقية و Sebastian Schinzel من جامعة Münster للعلوم التطبيقية وMerlin Chlosta من مركز CISPA Helmholtz لأمن المعلومات على تقديم المساعدة لنا.

تم تحديث الإدخال في 1 مايو 2023

Messages

يسعدنا أن نتوجّه بخالص الشكر إلى Idriss Riouak وAnıl özdil وGurusharan Singh على تقديم المساعدة لنا.

تمت إضافة الإدخال في 1 مايو 2023

Password Manager

يسعدنا أن نتوجّه بخالص الشكر إلى OCA Creations LLC وSebastian S. Andersen على تقديم المساعدة لنا.

تمت إضافة الإدخال في 1 مايو 2023

Safari Downloads‏

يسعدنا أن نتوجّه بخالص الشكر إلى Andrew Gonzalez على تقديم المساعدة لنا.

شريط الحالة

يسعدنا أن نتوجّه بخالص الشكر إلى N وjiaxu li على تقديم المساعدة لنا.

تاريخ تحديث الإدخال: 21 ديسمبر 2023

Telephony

يسعدنا أن نتوجّه بخالص الشكر إلى CheolJun Park من KAIST SysSec Lab على تقديم المساعدة لنا.

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.

WebKit Web Inspector

يسعدنا أن نتوجّه بخالص الشكر إلى Dohyun Lee (@l33d0hyun) and crixer (@pwning_me) من SSD Labs على تقديم المساعدة لنا.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: 03 يناير 2024