نبذة حول محتوى أمان الإصدار 10.11.6 من OS X El Capitan وتحديث الأمان 2016-004
يتناول هذا المستند محتوى أمان الإصدار 10.11.6 من OS X El Capitan وتحديث الأمان 2016-004.
حول تحديثات الأمان من Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.
عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.
الإصدار 10.11.6 من OS X El Capitan وتحديث الأمان 2016-004
apache_mod_php
متوفر لما يلي: الإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 من نظام OS X El Capitan والأحدث
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: وجدت عدة مشاكل في إصدارات PHP الأقدم من 5.5.36. وتمت معالجتها عبر تحديث إصدار PHP إلى 5.5.36.
CVE-2016-5093
CVE-2016-5094
CVE-2016-5096
CVE-2013-7456
الصوت
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-4649: Juwei Lin(@fuzzerDOTcn) من Trend Micro
الصوت
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4647: Juwei Lin(@fuzzerDOTcn) من Trend Micro
الصوت
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4648: Juwei Lin(@fuzzerDOTcn) من Trend Micro، وJack Tang وMoony Li من Trend Micro يعملون ضمن مبادرة Zero Day Initiative برعاية Trend Micro
الصوت
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يؤدي تحليل ملف صوت متطفّل إلى الكشف عن معلومات مستخدم
الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.
CVE-2016-4646: Steven Seeley من Source Incite يعمل ضمن مبادرة Zero Day Initiative برعاية Trend Micro
bsdiff
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتسبب مخترق محلي في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية.
الوصف: وجود تجاوز عدد صحيح في bspatch. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-2014-9862: باحث غير معلوم الهوية
CFNetwork
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم
الوصف: وجدت مشكلة تتعلق بالأذونات أثناء معالجة ملفات تعريف الارتباط لمتصفح الويب. تمت معالجة هذه المشكلة من خلال القيود المحسّنة.
CVE-2016-4645: Abhinav Bansal من Zscaler Inc.
بيانات اعتماد CFNetwork
متوفر لما يلي: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة
الوصف: وجدت مشكلة في الرجوع إلى إصدار سابق فيما يتعلق ببيانات اعتماد مصادقة HTTP التي تم حفظها في سلسلة المفاتيح. وقد تمت معالجة هذه المشكلة عن طريق تخزين أنواع المصادقة باستخدام بيانات الاعتماد.
CVE-2016-4644: Jerry Decime، من خلال التنسيق عبر CERT
CFNetwork Proxies
متوفر لما يلي: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة
الوصف: وجدت مشكلة في التحقق من الصحة أثناء تحليل ردود 407. تم التصدي لهذه المشكلة عبر التحقق المحسّن من صحة الرّدّ.
CVE-2016-4643: Xiaofeng Zheng من فريق Blue Lotus Team بجامعة Tsinghua University، وJerry Decime، من خلال التنسيق عبر CERT
CFNetwork Proxies
متوفر لما يلي: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يقوم أحد التطبيقات دون قصد بإرسال كلمة مرور غير مشفرة عبر الشبكة
الوصف: قامت مصادقة الوكيل بالإبلاغ الخاطئ بأن وكلاء HTTP استقبلوا بيانات الاعتماد بأمان. وقد تم التصدي لهذه المشكلة عبر التحذيرات المحسّنة.
CVE-2016-4642: Jerry Decime، من خلال التنسيق عبر CERT
CoreGraphics
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مستخدم محلي من رفع الامتيازات
الوصف: وجدت مشكلة قراءة غير مسموح بها أدت إلى الكشف عن محتوى ذاكرة kernel. تمت معالجة ذلك من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4652: Yubin Fu من Tencent KeenLab working يعمل ضمن مبادرة Zero Day Initiative من Trend Micro
CoreGraphics
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 والأحدث من نظام OS X El Capitan
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4637: Tyler Bohan من Cisco Talos (talosintel.com/vulnerability-reports)
FaceTime
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مخترق يتمتع بموقع مميز في الشبكة من التسبب في استمرار نقل صوت مكالمة مُرحّلة مع الظهور كما لو كانت المكاملة قد انتهت
الوصف: وجدت حالات عدم اتساق في واجهة المستخدم أثناء معالجة المكالمات المرحّلة. تمت معالجة هذه المشكلة من خلال منطق عرض FaceTime المحسّن.
CVE-2016-4635: Martin Vigo
برامج تشغيل الرسومات
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4634: Stefan Esser من SektionEins
ImageIO
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 والأحدث من نظام OS X El Capitan
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4629: Tyler Bohan من Cisco Talos (talosintel.com/vulnerability-reports)
CVE-2016-4630: Tyler Bohan من Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة
الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4632: Evgeny Sidorov من Yandex
ImageIO
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4631: Tyler Bohan من Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-7705: Craig Young من Tripwire VERT
برنامج تشغيل رسومات Intel
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4633: Marco Grassi (@marcograss) من KeenLab (@keen_lab)، Tencent
IOHIDFamily
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-4626: Stefan Esser من SektionEins
IOSurface
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة ثغرة use-after-free عبر الإدارة المُحسّنة للذاكرة.
CVE-2016-4625: Ian Beer من Google Project Zero
Kernel
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-1863: Ian Beer من Google Project Zero
CVE-2016-4653: Ju Zhu من Trend Micro
CVE-2016-4582: Shrek_wzw وProteas من فريق Qihoo 360 Nirvan Team
Kernel
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.
CVE-2016-1865: Marco Grassi (@marcograss) من KeenLab (@keen_lab)، Tencent، CESG
Libc
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 والأحدث من نظام OS X El Capitan
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: وجد تجاوز في ذاكرة التخزين المؤقت ضمن وظيفة "link_ntoa()" في linkaddr.c. وقد تمت معالجة هذه المشكلة عبر الفحص الإضافي للحدود.
CVE-2016-6559: Apple
libc++abi
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4621: باحث غير معلوم الهوية
libexpat
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد تؤدي معالجة ملف XML متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-0718: Gustavo Grieco
LibreSSL
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: وجدت عدة مشاكل في إصدارات LibreSSL التي تسبق 2.2.7. وقد تمت معالجة هذه المشاكل بتحديث LibreSSL إلى الإصدار 2.2.7.
CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat)، وHanno Böck، وDavid Benjamin (Google)، وMark Brand وIan Beer من Google Project Zero
CVE-2016-2109: Brian Carpenter
libxml2
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 والأحدث من نظام OS X El Capitan
التأثير: العديد من الثغرات الأمنية في libxml2
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei وLiu Yang من جامعة Nanyang Technological University
CVE-2016-4447: Wei Lei وLiu Yang من جامعة Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 والأحدث من نظام OS X El Capitan
التأثير: قد يؤدي تحليل مستند XML متطفّل إلى الكشف عن معلومات مستخدم
الوصف: وجدت مشكلة تتعلق بالوصول أثناء تحليل ملفات XML متطفلة. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4449: Kostya Serebryany
libxslt
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 والأحدث من نظام OS X El Capitan
التأثير: وجدت العديد من الثغرات الأمنية في libxslt
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
نافذة تسجيل الدخول
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن أحد التطبيقات الضارة من التمتع بامتيازات الجذر
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4638: Yubin Fu من Tencent KeenLab working يعمل ضمن مبادرة Zero Day Initiative من Trend Micro
نافذة تسجيل الدخول
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن تطبيق متطفل من تنفيذ تعليمة برمجية عشوائية مما يؤدي إلى اختراق معلومات المستخدم
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4640: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro
نافذة تسجيل الدخول
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن تطبيق متطفل من تنفيذ تعليمة برمجية عشوائية مما يؤدي إلى اختراق معلومات المستخدم
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4641: Yubin Fu من Tencent KeenLab working يعمل ضمن مبادرة Zero Day Initiative من Trend Micro
نافذة تسجيل الدخول
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض الخدمة
الوصف: تمت معالجة مشكلة تهيئة الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4639: Yubin Fu من Tencent KeenLab working يعمل ضمن مبادرة Zero Day Initiative من Trend Micro
OpenSSL
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: وجدت عدة مشاكل في OpenSSL. تم حل هذه المشاكل من خلال نقل الإصلاحات من الإصدار OpenSSL 1.0.2h/1.0.1 إلى OpenSSL 0.9.8.
CVE-2016-2105: Guido Vranken
CVE-2016-2106: Guido Vranken
CVE-2016-2107: Juraj Somorovsky
CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat)، وHanno Böck، وDavid Benjamin (Google)، وMark Brand وIan Beer من Google Project Zero
CVE-2016-2109: Brian Carpenter
CVE-2016-2176: Guido Vranken
QuickTime
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: يُمكن أن تؤدي معالجة ملف SGI ضار إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4601: Ke Liu من Tencent's Xuanwu Lab
QuickTime
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد تؤدي معالجة مستند Photoshop متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4599: Ke Liu من Tencent's Xuanwu Lab
QuickTime
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد تؤدي معالجة صورة FlashPix Bitmap متطفّلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2016-4596: Ke Liu من Tencent's Xuanwu Lab
CVE-2016-4597: Ke Liu من Tencent's Xuanwu Lab
CVE-2016-4600: Ke Liu من Tencent's Xuanwu Lab
CVE-2016-4602: Ke Liu من Tencent's Xuanwu Lab
QuickTime
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2016-4598: Ke Liu من Tencent's Xuanwu Lab
الملء التلقائي لتسجيل الدخول إلى Safari
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد تظهر كلمة مرور المستخدم على الشاشة
الوصف: وجدت مشكلة في الملء التلقائي لكلمة مرور Safari. تمت معالجة هذه المشكلة عبر تحسين المطابقة لحقول النموذج.
CVE-2016-4595: Jonathan Lewis من DeARX Services (PTY) LTD
ملفات تعريف وضع الحماية
متوفر لـ: الإصدار 10.11 والإصدارات الأحدث من نظام التشغيل OS X El Capitan
التأثير: قد يتمكن تطبيق محلي من الدخول إلى قائمة العمليات
الوصف: وجود مشكلة في الوصول لدى استدعاءات واجهة برمجة التطبيقات API المميزة. تمت معالجة هذه المشكلة من خلال القيود الإضافية.
CVE-2016-4594: Stefan Esser من SektionEins
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.