نبذة عن محتوى أمان الإصدار 2.0 من iPhone والإصدار 2.0 من iPod touch
يصف هذا المستند محتوى أمان الإصدار 2.0 من iPhone والإصدار 2.0 من iPod touch.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع "أمان منتجات Apple".
لمعرفة معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
الإصدار 2.0 من iPhone والإصدار 2.0 من iPod touch
CFNetwork
CVE-ID: CVE-2008-0050
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: يمكن لخادم وكيل متطفل تقليد مواقع الويب الآمنة
الوصف: يمكن لخادم وكيل HTTPS المتطفل إعادة بيانات عشوائية إلى CFNetwork في خطأ 502 Bad Gateway، مما يمكن أن يؤدي إلى تقليد موقع ويب آمن. تعمل هذا التحديث على حل المشكلة عن طريق عدم إرجاع البيانات المقدمة بواسطة الوكيل في حالة الخطأ.
Kernel
CVE-ID: CVE-2008-0177
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: يمكن لمهاجم عن بُعد أن يكون قادرًا على تسبب إعادة تعيين غير متوقعة للجهاز
الوصف: هناك حالة فشل غير مكتشفة تكمن في معالجة الحزم التي تحتوي على عنوان IPComp. قد يتسبب إرسال حزمة متطفلة إلى نظام تم تكوينه لاستخدام IPSec أو IPv6، في إيقاف تشغيل الجهاز بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال اكتشاف حالة الفشل بشكل صحيح.
سفاري
CVE-ID: CVE-2008-1588
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد يتم استخدام مساحات Unicode الأيديوغرافية لانتحال موقع ويب
الوصف: عندما يقوم متصفح سفاري بعرض عنوان URL الحالي في شريط العنوان، يتم تقديم المسافات الأيديوغرافية اليونيكود. يسمح هذا لموقع ويب متطفل بتوجيه المستخدم إلى موقع مقلد يبدو بصريًا وكأنه موقعًا بنطاق شرعي. يتعامل هذا التحديث مع المشكلة عن طريق عدم عرض المسافات الأيديوغرافية اليونيكود في شريط العنوان.
سفاري
CVE-ID: CVE-2008-1589
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات حساسة
الوصف: عندما يقوم متصفح سفاري بالوصول إلى موقع ويب يستخدم شهادة غير معتمدة ذاتيًا أو غير صالحة، يُطلب من المستخدم قبول الشهادة أو رفضها. إذا قام المستخدم بالضغط على زر القائمة أثناء وجوده في المطالبة، ففي الزيارة التالية للموقع، سيتم قبول الشهادة بدون مطالبة. قد يؤدي ذلك إلى الكشف عن معلومات حساسة. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة للشهادات. نشكر Hiromitsu Takagi على الإبلاغ عن هذه المشكلة.
سفاري
CVE-ID: CVE-2008-2303
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: قد تؤدي مشكلة التوقيع في معالجة سفاري لمؤشرات مصفوفة JavaScript إلى الوصول إلى الذاكرة بشكل خارج عن الحدود. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء مزيد من التحقق من صحة مؤشرات مصفوفة JavaScript. نشكر SkyLined of Google على الإبلاغ عن هذه المشكلة.
سفاري
CVE-ID: CVE-2006-2783
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى البرمجة النصية عبر المواقع
الوصف: يتجاهل سفاري تسلسل علامات ترتيب بايت Unicode عند تحليل صفحات الويب. تحاول بعض مواقع الويب ومرشحات محتوى الويب تنقية الإدخال عن طريق حظر علامات HTML محددة. قد يتم تجاوز هذا الأسلوب في التصفية ويؤدي إلى البرمجة النصية عبر المواقع عند مواجهة علامات HTML المصممة بشكل ضار والتي تحتوي على تسلسلات علامات ترتيب البايت. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لتسلسلات علامات ترتيب البايت. نشكرك Chris Weber من شركة Casaba Security, LLC للإبلاغ عن هذه المشكلة.
سفاري
CVE-ID: CVE-2008-2307
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تلف الذاكرة أثناء معالجة WebKit لمصفوفات JavaScript. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. ويسعدنا أن نتوجّه بخالص الشكر إلى James Urquhart للإبلاغ عن هذه المشكلة.
سفاري
CVE-ID: CVE-2008-2317
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تلف الذاكرة أثناء معالجة WebCore لعناصر ورقة الأنماط. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال مجموعة البيانات المهملة المحسنة. يرجع الفضل إلى باحث غير معروفة هويته يعمل لدى مبادرة TippingPoint Zero Day للإبلاغ عن هذه المشكلة.
سفاري
CVE-ID: CVE-2007-6284
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي معالجة مستند XML إلى رفض الخدمة
الوصف: توجد مشكلة في استهلاك الذاكرة أثناء معالجة مستندات XML التي تحتوي على تسلسلات UTF-8 غير صالحة، مما قد يؤدي إلى رفض الخدمة. يعالج هذا التحديث المشكلة عن طريق تحديث مكتبة النظام libxml2 إلى الإصدار 2.6.16.
سفاري
CVE-ID: CVE-2008-1767
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي معالجة مستند XML إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تلف الذاكرة في مكتبة libxslt. قد تؤدي عملية عرض صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يتوفر مزيد من المعلومات حول التصحيح المطبق عبر موقع الويب xmlsoft.org http://xmlsoft.org/XSLT/ يرجع الفضل إلى Anthony de Almeida Lopes من Outpost24 AB، وChris Evans من Google Security Team للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2008-1590
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تلف الذاكرة أثناء معالجة JavaScriptCore لجمع البيانات المهملة في وقت التشغيل. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال مجموعة البيانات المهملة المحسنة. نشكر Itzik Kotler وJonathan Rom من Radware للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2008-1025
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد يؤدي الوصول إلى عنوان URL متطفل إلى البرمجة النصية عبر المواقع
الوصف: توجد مشكلة في معالجة WebKit لعناوين URL التي تحتوي على حرف النقطتين في اسم المضيف. قد يؤدي الوصول إلى عنوان URL متطفل إلى اختراق البرمجة النصية على مستوى الموقع. يعالج هذا التحديث المشكلة من خلال المعالجة المحسَّنة لعناوين URL. نشكر Robert Swiecki من Google Security Team وDavid Bloom للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2008-1026
متوفر لما يلي: الإصدار 1.0 من iPhone إلى الإصدار 1.1.4، الإصدار 1.1 من iPod touch إلى الإصدار 1.1.4
التأثير: قد يؤدي عرض صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز سعة المخزن المؤقت لكومة الذاكرة المؤقتة في معالجة WebKit لتعبيرات JavaScript العادية. قد يتم تشغيل المشكلة عبر JavaScript عند معالجة تعبيرات اعتيادية متداخلة ذات عدد تكرار كبير. قد يؤدي ذلك إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال إجراء تحقّق إضافي من تعبيرات JavaScript الاعتيادية. نشكر Charlie Miller من Independent Security Evaluators للإبلاغ عن هذه المشكلة.
مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.