نبذة حول محتوى أمان iOS 8.4

يتناول هذا المستند محتوى الأمان لنظام التشغيل iOS 8.4.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل وتوفير أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.

للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.

iOS 8.4

  • Application Store

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يمنع تطبيق ملف تعريف التوفير العام المضّر التطبيقات من التشغيل

    الوصف: حدثت مشكلة في منطق التثبيت لتطبيقات ملف تعريف التوفير العام، مما سمح بحدوث تعارض مع معرّفات الحزمة الحالية. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للتعارض.

    CVE-ID‏

    CVE-2015-3722:‏ Zhaofeng Chen وHui Xue و‎Tao (Lenx) Wei‎ من FireEye, Inc.‎

  • Certificate Trust Policy

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يتمكّن مخترق لديه صلاحيات على الشبكة من اعتراض حركة مرور الشبكة

    الوصف: تم إصدار شهادة وسيطة بشكل خاطئ من قِبَل هيئة شهادات CNNIC. وقد تمت معالجة هذه المشكلة من خلال إضافة آلية للوثوق فقط في مجموعة فرعية من الشهادات التي أُصدرت قبل إلغاء إصدار المتوسطة. يمكنك الحصول على تفاصيل إضافية حول قائمة السماح بالثقة الأمنية الجزئية.

  • Certificate Trust Policy

    متوفر لما يلي: iPhone 4s والأحدث، وiPod touch (الجيل الخامس) والأحدث، وiPad 2 والأحدث

    التأثير: تحديث سياسة الوثوق في الشهادات

    الوصف: تم تحديث سياسة الوثوق في الشهادات. يمكن عرض القائمة الكاملة للشهادات في iOS Trust Store.

  • CFNetwork HTTPAuthentication

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يؤدي الانتقال إلى رابط URL متطفل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت مشكلة تلف الذاكرة في معالجة بيانات اعتماد محددة لعناوين URL. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3684:‏ Apple

  • CoreGraphics

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت العديد من مشاكل تلف الذاكرة في معالجة ملفات ICC. وقد تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-3723 :‏ chaithanya (SegFault)‎ بالاشتراك مع مبادرة Zero Day Initiative من HP‏

    CVE-2015-3724:‏ WanderingGlitch بالاشتراك مع مبادرة Zero Day Initiative من HP

  • CoreText

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي معالجة ملف نصي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت العديد من مشاكل تلف الذاكرة أثناء معالجة الملفات النصية. وقد تمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685:‏ Apple

    CVE-2015-3686:‏ ‎John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

    CVE-2015-3687:‏ ‎John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

    CVE-2015-3688:‏ ‎John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

    CVE-2015-3689:‏ Apple

  • coreTLS

    متوفر لأجهزة: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يتمكّن مخترق لديه صلاحيات على الشبكة من مقاطعة اتصالات SSL/TLS

    الوصف: تم قبول مفاتيح Diffie-Hellman (DH)‎ قصيرة وسريعة الزوال بواسطة coreTLS، كالمُستخدَمة في مجموعات تشفير مفاتيح DH عابرة ذات قوة تصدير. تسمح هذه المشكلة، المعروفة أيضًا باسم Logjam، بأن يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة بخفض مستوى الأمان إلى 512 بت DH إذا كان الخادم يدعم مجموعات تشفير مفاتيح DH عابرة ذات قوة تصدير. وقد تمت معالجة المشكلة من خلال زيادة الحد الأدنى من الحجم الافتراضي المسموح لمفاتيح DH عابرة إلى 768 بت.

    CVE-ID‏

    CVE-2015-4000 : فريق weakdh لدى weakdh.org،‏ Hanno Boeck

  • DiskImages

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: يُمكن لتطبيق متطفل تحديد تخطيط ذاكرة kernel

    الوصف: حدثت مشكلة تتعلق بالكشف عن المعلومات في معالجة صور القرص. وقد تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3690:‏ Peter Rutenbar بالاشتراك مع مبادرة Zero Day Initiative من HP

  • FontParser

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد تؤدي معالجة ملف نصي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت العديد من مشاكل تلف الذاكرة أثناء معالجة ملفات الخطوط. وقد تمت معالجة هذه المشاكل من خلال التحقق المحسن من صحة الإدخال.

    CVE-ID

    CVE-2015-3694:‏ ‎John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

    CVE-2015-3719:‏ ‎John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

  • ImageIO

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد تؤدي معالجة ملف ‎.tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت مشكلة تلف الذاكرة خلال معالجة ملفات ‎.tiff وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3703:‏ Apple

  • ImageIO

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: حدثت ثغرات أمنية متعددة في libtiff، وقد يؤدي أخطرها إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت ثغرات أمنية متعددة في إصدارات libtiff الأقدم من 4.0.4. تم تناولها من خلال تحديث libtiff إلى الإصدار 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • Kernel

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: يُمكن لتطبيق متطفل تحديد تخطيط ذاكرة kernel

    الوصف: حدثت مشكلة في إدارة الذاكرة في معالجة مَعلَمات HFS كان من الممكن أن تؤدي إلى الكشف عن تخطيط ذاكرة kernel. وقد تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3721‏ : Ian Beer من Google Project Zero

  • Mail

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يؤدي بريد إلكتروني متطفّل ضار إلى استبدال محتوى الرسالة بصفحة ويب عشوائية عند عرض الرسالة

    الوصف: حدثت مشكلة في دعم البريد الإلكتروني HTML مما يتيح إعادة تحميل محتوى الرسالة بصفحة ويب عشوائية. وتمت معالجة المشكلة من خلال تقييد الدعم لمحتوى HTML.

    CVE-ID‏

    CVE-2015-3710‏ : Aaron Sigel من vtty.com،‏ Jan Souček

  • MobileInstallation

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يتسبب تطبيق ملف تعريف التوفير العالمي الضار في منع تطبيق Watch من التشغيل

    الوصف: حدثت مشكلة في منطق التثبيت لتطبيقات ملف تعريف التوفير العام على Watch، مما سمح بحدوث تعارض مع معرّفات الحزمة الحالية. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للتعارض.

    CVE-ID‏

    CVE-2015-3725:‏ Zhaofeng Chen وHui Xue و‎Tao (Lenx) Wei‎ من FireEye, Inc.‎

  • Safari

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفّل ضار إلى اختراق معلومات المستخدم على نظام الملفات

    الوصف: حدثت مشكلة في إدارة الحالة في سفاري سمحت للأصول غير المميزة بالوصول إلى محتويات نظام الملفات. وقد تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

    CVE-ID

    CVE-2015-1155:‏ Joe Vennix من Rapid7 Inc.‎ بالاشتراك مع مبادرة Zero Day Initiative من HP

  • Safari

    متوفر لأجهزة: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفّل ضار إلى الاستحواذ على الحساب

    الوصف: حدثت مشكلة حيث يحتفظ سفاري برأس طلب Origin لإعادة التوجيه عبر الأصول، مما يسمح لمواقع الويب المتطفلة بالتحايل على حماية CSRF. وقد تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لعمليات إعادة التوجيه.

    CVE-ID

    CVE-2015-3658 :‏ Brad Hill من Facebook

  • Security

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدث تجاوز لعدد صحيح في التعليمة البرمجية لإطار العمل Security لتحليل البريد الإلكتروني S/MIME وبعض الكائنات الموقَّعة أو المشفرة الأخرى. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للتحقق من الصحة.

    CVE-ID‏

    CVE-2013-1741

  • SQLite

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يتسبب عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت تجاوزات متعددة للمخزن المؤقت في تنفيذ printf الخاص بـ SQLite. وقد تمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3717:‏ Peter Rutenbar بالاشتراك مع مبادرة Zero Day Initiative من HP

  • SQLite

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد يؤدي أمر SQL متطفّل ضار إلى السماح بإنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت مشكلة في واجهة برمجة التطبيقات في وظائف SQLite. وقد تمت معالجة هذه المشكلة من خلال القيود المحسّنة.

    CVE-ID

    CVE-2015-7036:‏ Peter Rutenbar بالاشتراك مع مبادرة Zero Day Initiative من HP

  • Telephony

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي استخدام بطاقات SIM متطفّلة ضارة إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: حدثت العديد من مشاكل التحقق من المدخلات في تحليل حمولات SIM/UIM. وقد تمت معالجة هذه المشاكل عبر التحقق المحسّن من صحة الحمولة.

    CVE-ID

    CVE-2015-3726:‏ Matt Spisak من Endgame

  • WebKit

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل بالنقر على رابط إلى التحايل على واجهة المستخدم

    الوصف: حدثت مشكلة في معالجة سمة rel في عناصر الربط. قد تتمكن الكائنات المستهدفة من الوصول غير المصرح به إلى الكائنات المرتبطة. وقد تمت معالجة هذه المشكلة من خلال تحسين الالتزام بنوع الرابط.

    CVE-ID

    CVE-2015-1156‏: Zachary Durber من Moodle

  • WebKit

    متوفر لما يلي: iPhone 4s والأحدث، وiPod touch (الجيل الخامس) والأحدث، وiPad 2 والأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية عشوائية

    الوصف: وجود العديد من مشاكل تلف الذاكرة في WebKit. وقد تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-1152‏: Apple

    CVE-2015-1153‏:‏ Apple

  • WebKit

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد تؤدي زيارة صفحة ويب متطفلة ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: حدثت مشكلة تتعلق بمقارنة غير كافية في SQLite authorizer مما يسمح بالاستدعاء الإجباري لوظائف SQL. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للاعتماد.

    CVE-ID

    CVE-2015-3659:‏ Peter Rutenbar بالاشتراك مع مبادرة Zero Day Initiative من HP

  • WebKit

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: يمكن لموقع ويب متطفل ضار الوصول إلى قواعد بيانات WebSQL لمواقع ويب أخرى

    الوصف: حدثت مشكلة تتعلق بعمليات التحقق من الاعتماد لإعادة تسمية جداول WebSQL قد تؤدي إلى وصول موقع ويب متطفل ضار إلى قواعد البيانات المنتمية لمواقع ويب أخرى. وقد تمت معالجتها عبر الفحص المحسّن للاعتماد.

    CVE-ID

    CVE-2015-3727:‏ Peter Rutenbar بالاشتراك مع مبادرة Zero Day Initiative من HP

  • Wi-Fi Connectivity

    متوفر لما يلي: iPhone 4s والأحدث وiPod touch (الجيل الخامس) والأحدث وiPad 2 والأحدث

    التأثير: قد ترتبط الأجهزة التي تعمل بنظام تشغيل iOS بنقاط وصول غير موثوقة تعرض إعلانات لمعرف ESSID معروف ولكن بمستوى أمان منخفض

    الوصف: توجد مشكلة مقارنة غير كافية في تقييم مدير Wi-Fi لإعلانات نقاط الوصول المعروفة. وقد تمت معالجة هذه المشكلة عبر تحسين المواءمة بين معلمات الأمان.

    CVE-ID

    CVE-2015-3728:‏ Brian W. Gray من Carnegie Mellon University،‏ Craig Young من TripWire

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: