نبذة بشأن محتوى الأمان للإصدار 1.1.1 من تحديث iPhone
يتناول هذا المستند محتوى الأمان للإصدار 1.1.1 من تحديث iPhone.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرُّف على المزيد بشأن أمان منتجات Apple، تفضَّل بزيارة موقع أمان منتجات Apple على الويب.
للحصول على معلومات بشأن مفتاح PGP لأمان منتجات Apple، قم بالاطلاع على مقالة "كيفية استخدام مفتاح PGP لأمان منتجات Apple".
إن أمكن، يتم استخدام معرفات CVE
للتعرف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple".
الإصدار 1.1.1 من تحديث iPhone
Bluetooth
CVE-ID: CVE-2007-3753
التأثير: قد يتمكن مخترق في داخل نطاق Bluetooth من التسبب في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.
الوصف: توجد مشكلة تتعلق بالتحقق من صحة الإدخال في خادم Bluetooth على iPhone. من خلال إرسال حزم بروتوكول اكتشاف الخدمة (SDP) الضارة إلى iPhone يعمل بتقنية Bluetooth، قد يتسبب المخترق في حدوث المشكلة، ما قد يؤدي إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من حزم SDP. يرجع الفضل إلى كل من Kevin Mahaffey وJohn Hering من Flexilis Mobile Security للإبلاغ عن هذه المشكلة.
CVE-ID: CVE-2007-3754
التأثير: قد يؤدي التحقق من البريد الإلكتروني عبر شبكات غير موثوق بها إلى الكشف عن المعلومات عبر هجوم الوسيط.
الوصف: عندما يتم تكوين "البريد" لاستخدام SSL للاتصالات الواردة والصادرة، فإنه لا يحذِّر المستخدم عندما تتغير هوية خادم البريد أو لا يمكن الوثوق به. قد يتمكن مخترق قادر على اعتراض الاتصال من انتحال شخصية خادم البريد الخاص بالمستخدم والحصول على بيانات اعتماد البريد الإلكتروني للمستخدم أو معلومات حساسة أخرى. يعالج هذا التحديث المشكلة عن طريق التحذير بشكل صحيح عندما تتغير هوية خادم البريد البعيد.
CVE-ID: CVE-2007-3755
التأثير: سيؤدي اتباع رابط الهاتف ("الهاتف:") في "البريد" إلى طلب رقم هاتف دون تأكيد.
الوصف: يدعم "البريد" روابط الهاتف ("الهاتف:") لطلب أرقام الهواتف. من خلال حثّ المستخدم على اتباع رابط هاتف في رسالة بريد، يمكن للمهاجم أن يتسبب في إجراء مكالمة عبر iPhone دون تأكيد المستخدم. يعالج هذا التحديث المشكلة من خلال توفير نافذة تأكيد قبل طلب رقم هاتف عبر رابط هاتف في "البريد". يرجع الفضل إلى Andi Baritchi من McAfee للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2007-3756
التأثير: قد تؤدي زيارة موقع ويب ضار إلى الكشف عن محتويات عنوان URL.
الوصف: تتيح مشكلة التصميم في سفاري لصفحة ويب قراءة عنوان URL الذي يتم عرضه حاليًا في نافذتها الأصلية. من خلال حثّ مستخدم على زيارة صفحة ويب ضارة، قد يتمكن مخترق من الحصول على عنوان URL لصفحة غير ذات صلة. يعالج هذا التحديث المشكلة من خلال فحص أمان محسَّن عبر النطاقات. يرجع الفضل إلى Michal Zalewski من Google Inc وSecunia Research للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2007-3757
التأثير: قد تؤدي زيارة موقع ويب ضار إلى طلب رقم غير مقصود أو طلب رقم مختلف عن المطلوب.
الوصف: يدعم سفاري روابط الهاتف ("الهاتف:") لطلب أرقام الهواتف. عند تحديد رابط هاتف، سيؤكد سفاري أنه يجب الاتصال بالرقم. قد يتسبب رابط هاتف ضار في عرض رقم مختلف في أثناء التأكيد غير الرقم الذي تم طلبه بالفعل. قد يؤدي الخروج من سفاري في أثناء عملية التأكيد إلى تأكيد غير مقصود. يعالج هذا التحديث المشكلة من خلال عرض الرقم الذي سيتم الاتصال به بشكل صحيح، وطلب تأكيد روابط الهاتف. يرجع الفضل إلى Billy Hoffman وBryan Sullivan من HP Security Labs (المعروفة سابقًا بـ SPI Labs) وEduardo Tang للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2007-3758
التأثير: قد تؤدي زيارة موقع ويب ضار إلى البرمجة النصية عبر المواقع.
الوصف: توجد ثغرة في البرمجة النصية عبر المواقع في سفاري تسمح لمواقع الويب الضارة بتعيين خصائص نافذة JavaScript لمواقع الويب التي يتم تقديمها من نطاق مختلف. من خلال حثّ المستخدم على زيارة موقع ويب ضار، يمكن للمهاجم أن يتسبب في حدوث المشكلة، ما يؤدي إلى الحصول على حالة النافذة وموقع الصفحات التي يتم عرضها من مواقع الويب الأخرى أو تعيينها. يعالج هذا التحديث المشكلة من خلال توفير عناصر تحكم محسَّنة في الوصول إلى هذه الخصائص. يرجع الفضل إلى Michal Zalewski من Google Inc للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2007-3759
التأثير: ليس لتعطيل JavaScript تأثير حتى تتم إعادة تشغيل سفاري.
الوصف: يمكن تكوين سفاري لتمكين JavaScript أو تعطيله. ليس لهذا التفضيل تأثير حتى تتم إعادة تشغيل سفاري في المرة التالية. يحدث هذا عادةً عند إعادة تشغيل iPhone. قد يؤدي هذا إلى خداع المستخدمين في الاعتقاد بأن JavaScript معطل عندما لا يكون كذلك. يعالج هذا التحديث المشكلة من خلال تطبيق التفضيل الجديد قبل تحميل صفحات الويب الجديدة.
Safari
CVE-ID: CVE-2007-3760
التأثير: قد تؤدي زيارة موقع ويب ضار إلى البرمجة النصية عبر المواقع.
الوصف: تسمح مشكلة البرمجة النصية عبر المواقع في سفاري لموقع ويب ضار بتجاوز سياسة الأصل نفسها باستخدام علامات "الإطار". من خلال حثّ المستخدم على زيارة صفحة ويب ضارة، يمكن للمهاجم أن يتسبب في حدوث المشكلة، ما قد يؤدي إلى تنفيذ JavaScript في سياق موقع آخر. يعالج هذا التحديث المشكلة من خلال عدم السماح باستخدام JavaScript كمصدر "iframe"، وتقييد JavaScript في علامات الإطار بالوصول نفسه مثل الموقع الذي تم تقديمه منه. يرجع الفضل إلى Michal Zalewski من Google Inc وSecunia Research للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2007-3761
التأثير: قد تؤدي زيارة موقع ويب ضار إلى البرمجة النصية عبر المواقع.
الوصف: تتيح مشكلة البرمجة النصية عبر المواقع في سفاري ربط أحداث JavaScript بالإطار الخاطئ. من خلال حثّ مستخدم على زيارة صفحة ويب ضارة، قد يتسبب مخترق في تنفيذ JavaScript في سياق موقع آخر. يعالج هذا التحديث المشكلة عن طريق ربط أحداث JavaScript بالإطار المصدر الصحيح.
Safari
CVE-ID: CVE-2007-4671
التأثير: قد تقوم JavaScript عبر مواقع الويب بالوصول إلى محتويات المستندات التي يتم تقديمها عبر HTTPS أو استخدامها.
الوصف: هناك مشكلة في سفاري تسمح للمحتوى الذي يتم تقديمه عبر HTTP بتغيير المحتوى المعروض عبر HTTPS أو الوصول إليه في النطاق نفسه. من خلال حثّ المستخدم على زيارة صفحة ويب ضارة، قد يتسبب المهاجم في تنفيذ JavaScript في سياق صفحات الويب HTTPS في هذا النطاق. يعالج هذا التحديث المشكلة عن طريق تقييد الوصول بين JavaScript الذي يتم تنفيذه في إطارات HTTP وHTTPS. يرجع الفضل إلى Keigo Yamazaki من LAC Co., Ltd (Little eArth Corporation Co., Ltd) للإبلاغ عن هذه المشكلة.
ملاحظة بشأن التثبيت:
لا يتوفر هذا التحديث إلا من خلال iTunes، ولن يظهر في تطبيق "تحديث البرامج" على الكمبيوتر، أو في موقع "تنزيلات Apple". تأكد من أن لديك اتصالاً بالإنترنت وأنك قمت بتثبيت أحدث إصدار من iTunes من www.apple.com/itunes.
سيتحقق iTunes تلقائيًا من خادم تحديث Apple في جدوله الأسبوعي. عند اكتشاف تحديث، سيقوم بتنزيله. عند توصيل iPhone، سيعرض iTunes على المستخدم خيار تثبيت التحديث. نوصي بتطبيق التحديث على الفور إن أمكن. سيؤدي اختيار "عدم التثبيت" إلى تقديم الخيار في المرة التالية التي تقوم فيها بتوصيل iPhone.
قد تستغرق عملية التحديث التلقائي أسبوعًا على الأقل ويتوقف ذلك على اليوم الذي يتحقق فيه iTunes من وجود تحديثات. يمكنك الحصول على التحديث يدويًا عبر زر "التحقق من التحديث" داخل iTunes. بعد القيام بذلك، يمكن تطبيق التحديث عند توصيل iPhone بجهاز الكمبيوتر.
للتحقق من تحديث iPhone:
انتقل إلى "الإعدادات"
انقر على "عام"
انقر على "حول". سيكون الإصدار بعد تطبيق هذا التحديث هو "1.1.1 (3A109a)".