نبذة عن محتوى أمان لتحديث الأمان 2009-003 / Mac OS X الإصدار 10.5.8

يتناول هذا المستند محتوى الأمان لتحديث الأمان 2009-003 / Mac OS X الإصدار 10.5.8، والذي يمكن تنزيله وتثبيته عبر تفضيلات "تحديث البرامج"، أو من تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple".

تحديث الأمان 2009-003 / Mac OS X الإصدار 10.5.8

  • bzip2

    CVE-ID: CVE-2008-1372

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11 أو Mac OS X Server الإصدار 10.4.11 أو Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7 أو Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي فك ضغط البيانات المصممة بشكل ضار إلى إنهاء غير متوقع للتطبيق

    الوصف: يوجد وصول غير محدود إلى الذاكرة في bzip2. قد يؤدي فتح ملف مضغوط ومصمم بشكل ضار إلى إنهاء غير متوقع للتطبيق. يعالج هذا التحديث المشكلة عن طريق تحديث bzip2 إلى الإصدار 1.0.5. مزيد من المعلومات متاحة عبر موقع bzip2 على شبكة الإنترنت في http://bzip.org/

  • CFNetwork

    CVE-ID: CVE-2009-1723

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7 وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يتحكم موقع ويب متطفل في عنوان URL المعروض في تحذير الشهادة

    الوصف: عندما يصل سفاري إلى موقع ويب عبر إعادة توجيه 302 ويتم عرض تحذير الشهادة، سيحتوي التحذير على عنوان URL الأصلي لموقع الويب بدلًا من عنوان URL الحالي لموقع الويب. قد يسمح هذا لموقع ويب متطفل يتم الوصول إليه عبر معيد توجيه مفتوح على موقع ويب موثوق به من قِبَل المستخدم بالتحكم في عنوان URL المعروض لموقع الويب في تحذير الشهادة. تمت معالجة هذه المشكلة من خلال إعادة عنوان URL الصحيح في طبقة CFNetwork الأساسية. لا تؤثر هذه المشكلة على الأنظمة قبل Mac OS X الإصدار 10.5. الفضل يعود في الإبلاغ عن هذه المشكلة إلى Kevin Day من Your.Org، وJason Mueller من Indiana University.

  • ColorSync

    CVE-ID‏: CVE-2009-1726

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي عرض صورة تم إنشاؤها بشكل متطفل باستخدام ملف تعريف "مزامنة ألوان" مضمَّن إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد تجاوز سعة المخزن المؤقت للمكدس في معالجة الصور باستخدام ملف تعريف "مزامنة ألوان" مضمَّن. قد يؤدي فتح صورة تم إنشاؤها بشكل متطفل باستخدام ملف تعريف مزامنة الألوان المضمن إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من ملفات تعريف مزامنة الألوان. يعود الفضل إلى Chris Evans من فريق Google Security Team للإبلاغ عن هذه المشكلة.

  • CoreTypes

    CVE-ID: CVE-2009-1727

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، أو Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: لا يتم تحذير المستخدمين قبل فتح أنواع محتوى معينة يحتمل أن تكون غير آمنة

    الوصف: يوسع هذا التحديث قائمة أنواع المحتوى التي سيتم وضع علامة عليها على أنها يحتمل أن تكون غير آمنة في ظل ظروف معينة، مثل عند تنزيلها من صفحة ويب. على الرغم من أن أنواع المحتوى هذه لا يتم تشغيلها تلقائيًا، إلا أنه إذا تم فتحها يدويًا فقد تؤدي إلى تنفيذ حمولة JavaScript ضارة. يعمل هذا التحديث على تحسين قدرة النظام على إخطار المستخدمين قبل التعامل مع أنواع المحتوى التي يستخدمها سفاري. يسعدنا أن نتوجّه بخالص الشكر إلى Brian Mastenbrook وClint Ruoho من Laconic Security للإبلاغ عن هذه المشكلة.

  • Dock

    CVE-ID: CVE-2009-0151

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، أو Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: يمكن للشخص الذي لديه وصول فعلي إلى نظام مقفل استخدام إيماءات اللمس المتعدد بأربعة أصابع

    الوصف: لا تمنع شاشة التوقف إيماءات اللمس المتعدد بأربعة أصابع، مما قد يسمح للشخص الذي لديه وصول فعلي إلى نظام مقفل بإدارة التطبيقات أو استخدام Expose. يعالج هذا التحديث المشكلة عن طريق حظر إيماءات اللمس المتعدد بشكل صحيح عند تشغيل شاشة التوقف. تؤثر هذه المشكلة فقط على الأنظمة المزودة بلوحة تعقب اللمس المتعدد.

  • Image RAW

    CVE-ID: CVE-2009-1728

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي عرض صورة Canon RAW متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد تجاوز لسعة المخزن المؤقت للمكدس في معالجة صور Canon RAW. قد يؤدي عرض صورة Canon RAW متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. بالنسبة لأنظمة Mac OS X الإصدار 10.4، تمت معالجة هذه المشكلة بالفعل مع تحديث توافق RAW للكاميرا الرقمية 2.6. يرجع الفضل في الإبلاغ عن هذه المشكلة إلى Chris Ries من Carnegie Mellon University Computing Services.

  • ImageIO

    CVE-ID‏: CVE-2009-1722

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي عرض صورة OpenEXR تم إنشاؤها بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد تجاوز سعة المخزن المؤقت لكومة الذاكرة في معالجة ImageIO لصور OpenEXR. قد يؤدي عرض صورة OpenEXR متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق تحديث OpenEXR إلى الإصدار 1.6.1. يرجع الفضل في الإبلاغ عن هذه المشكلة إلى Lurene Grenier من Sourcefire VRT، وChris Ries من Carnegie Mellon University Computing Services.

  • ImageIO

    CVE-ID‏: CVE-2009-1721

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي عرض صورة OpenEXR تم إنشاؤها بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد مشكلة في الوصول إلى الذاكرة غير المهيأة في معالجة ImageIO لصور OpenEXR. قد يؤدي عرض صورة OpenEXR متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال تهيئة الذاكرة المناسبة وعملية تحقق إضافية لصور OpenEXR. يعود الفضل إلى: Apple.

  • ImageIO

    CVE-ID‏: CVE-2009-1720

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي عرض صورة OpenEXR تم إنشاؤها بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد تجاوز لعدد صحيح في معالجة ImageIO لصور OpenEXR. قد يؤدي عرض صورة OpenEXR متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلات من خلال التحقق المحسن من الحدود. يعود الفضل إلى: Apple.

  • ImageIO

    CVE-ID‏: CVE-2009-2188

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي عرض صورة متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد تجاوز لسعة المخزن المؤقت في معالجة ImageIO لبيانات EXIF التعريفية. قد تؤدي عملية عرض صورة متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X.

  • ImageIO

    CVE-ID‏: CVE-2009-0040

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد تؤدي معالجة صورة PNG تم إنشاؤها بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: يوجد مشكلة غير مهيأة في المؤشر في معالجة صور PNG. قد تؤدي معالجة صورة PNG متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من صحة صور PNG. يرجع الفضل إلى Tavis Ormandy من فريق Google Security Team للإبلاغ عن هذه المشكلة.

  • Kernel

    CVE - ID: CVE -2009-1235

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يحصل المستخدم المحلي على امتيازات النظام

    الوصف: توجد مشكلة تنفيذ في معالجة النواة لعمليات استدعاء نظام fcntl. يجوز للمستخدم المحلي الكتابة فوق ذاكرة النواة وتنفيذ التعليمات البرمجية العشوائية مع امتيازات النظام. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنّة لعمليات استدعاء نظام fcntl. يرجع الفضل إلى Razvan Musaloiu-E. من جامعة Johns Hopkins University، وHiNRG للإبلاغ عن هذه المشكلة.

  • launchd

    CVE-ID: CVE-2009-2190

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي فتح العديد من الاتصالات بخدمة launchd قائمة على inetd إلى رفض الخدمة

    الوصف: قد يؤدي فتح العديد من الاتصالات بخدمة launchd قائمة على inetd إلى إيقاف خدمة launchd وصيانة الاتصالات الواردة إلى تلك الخدمة حتى إعادة تشغيل النظام التالي. يعالج هذا التحديث المشكلة من خلال تحسين معالجة الأخطاء.

  • Login Window

    CVE-ID: CVE-2009-2191

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد تؤدي مشكلة سلسلة التنسيق في نافذة تسجيل الدخول إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: قد تؤدي مشكلة سلسلة التنسيق في معالجة نافذة تسجيل الدخول لأسماء التطبيقات إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لأسماء التطبيقات. الفضل يعود إلى Alfredo Pesoli من 0xcafebabe.it للإبلاغ عن هذه المشكلة.

  • MobileMe

    CVE-ID: CVE-2009-2192

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: لا يؤدي تسجيل الخروج من MobileMe إلى إزالة جميع بيانات الاعتماد

    الوصف: توجد مشكلة منطقية في جزء تفضيلات MobileMe. لا يؤدي تسجيل الخروج من جزء التفضيلات إلى حذف جميع بيانات الاعتماد. يجوز للشخص الذي لديه حق الوصول إلى حساب المستخدم المحلي الاستمرار في الوصول إلى أي نظام آخر مرتبط بحساب MobileMe الذي سبق تسجيل الدخول إليه لهذا الحساب المحلي. يعالج هذا التحديث المشكلة عن طريق حذف جميع بيانات الاعتماد عند تسجيل الخروج.

  • Networking

    CVE-ID: CVE-2009-2193

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7, وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يؤدي تلقي حزمة استجابة AppleTalk المصممة بشكل ضار إلى تنفيذ التعليمات البرمجية العشوائية مع امتيازات النظام أو إيقاف تشغيل النظام بشكل غير متوقع

    الوصف: يوجد تجاوز للمخزن المؤقت في معالجة النواة لحزم استجابة AppleTalk. قد يؤدي تلقي حزمة استجابة AppleTalk المصممة بشكل ضار إلى تنفيذ تعليمة برمجية عشوائية مع امتيازات النظام أو إيقاف تشغيل النظام بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال تحسين التحقق من حزم استجابة AppleTalk. يرجع الفضل في الإبلاغ عن هذه المشكلة إلى Ilja van Sprundel من IOActive.

  • Networking

    CVE-ID: CVE-2009-2194

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد يتسبب المستخدم المحلي في إيقاف تشغيل النظام بشكل غير متوقع

    الوصف: توجد مشكلة مزامنة في التعامل مع مشاركة أداة وصف الملف عبر المآخذ المحلية. من خلال إرسال رسائل تحتوي على أدوات وصف ملفات إلى مأخذ توصيل بدون جهاز استقبال، قد يتسبب المستخدم المحلي في إيقاف تشغيل النظام بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال تحسين التعامل مع مشاركة أداة وصف الملف. يعود الفضل إلى Bennet Yee من فريق Google Inc.‎ للإبلاغ عن هذه المشكلة.

  • XQuery

    CVE-ID: CVE-2008-0674

    متوفر للأجهزة التالية: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.7، وMac OS X Server الإصدار 10.5 إلى الإصدار 10.5.7

    التأثير: قد تؤدي معالجة محتوى XML المتطفل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود تجاوز للمخزن المؤقت في التعامل مع فئات الأحرف بالتعبيرات العادية في مكتبة التعبيرات العادية المتوافقة مع Perl (PCRE) المستخدَمة من قِبَل XQuery. قد يسمح هذا للمهاجم البعيد بتنفيذ التعليمات البرمجية العشوائية عبر تعبير عادي يحتوي على فئة أحرف بها عدد كبير من الأحرف التي تحتوي على نقاط رموز Unicode أكبر من 255 حرفًا. يعالج هذا التحديث المشكلة عن طريق تحديث PCRE إلى الإصدار 7.6.

مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.

تاريخ النشر: