نبذة حول محتوى أمان iOS 8.4

يتناول هذا المستند محتوى الأمان لنظام التشغيل iOS 8.4.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

وحيثما أمكن، يتم استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.

للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.

iOS 8.4

  • متجر التطبيقات

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسبب تطبيق ملف تعريف التوفير العالمي الضار في منع تشغيل التطبيقات

    الوصف: وجدت مشكلة في منطق تثبيت تطبيقات ملفات تعريف التوفير العالمية تسمح بحدوث تعارض مع معرفات الحزمة الموجودة. وتمت معالجة هذه المشكلة عبر الفحص المحسّن للتعارض.

    CVE-ID

    CVE-2015-3722:‏ Zhaofeng Chen وHui Xue وTao (Lenx) Wei من FireEye, Inc.‎

  • سياسة الوثوق في الشهادات

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من حركة مرور الشبكة.

    الوصف: تم إصدار شهادة متوسطة بشكلٍ غير صحيح عن طريق CNNIC التابعة لجهة الشهادات. وتمت معالجة المشكلة من خلال إضافة آلية للوثوق فقط في مجموعة فرعية من الشهادات التي أُصدرت قبل إلغاء إصدار المتوسطة. يمكنك الحصول على تفاصيل إضافية حول قائمة السماح بالثقة الأمنية الجزئية.

  • سياسة الوثوق في الشهادات

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: تحديث سياسة الوثوق في الشهادات

    الوصف: تم تحديث سياسة الوثوق في الشهادات. يمكن عرض القائمة الكاملة للشهادات في iOS Trust Store.

  • CFNetwork HTTPAuthentication

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي متابعة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية

    الوصف: توجد مشكلة تتعلق بتلف الذاكرة عند معالجة ببيانات اعتماد عنوان URL محدّدة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3684:‏ Apple

  • CoreGraphics

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: توجد العديد من مشاكل تلف الذاكرة أثناء معالجة ملفات تعريف ICC. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-3723:‏ chaithanya (SegFault) يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3724:‏ WanderingGlitch يعمل مع Zero Day Initiative لدى HP

  • CoreText

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي معالجة ملف نصي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

    الوصف: توجد العديد من مشاكل تلف الذاكرة أثناء معالجة ملفات النصوص. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685:‏ Apple

    CVE-2015-3686:‏ John Villamil (@day6reak)‎، من فريق Yahoo Pentest Team

    CVE-2015-3687:‏ John Villamil (@day6reak)‎، من فريق Yahoo Pentest Team

    CVE-2015-3688:‏ John Villamil (@day6reak)‎، من فريق Yahoo Pentest Team

    CVE-2015-3689:‏ Apple

  • coreTLS

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة باعتراض اتصالات SSL/TLS

    الوصف: تم قبول مفاتيح Diffie-Hellman (DH)‎ قصيرة وسريعة الزوال بواسطة coreTLS، كالمُستخدَمة في مجموعات تشفير مفاتيح DH عابرة ذات قوة تصدير. تسمح هذه المشكلة، المعروفة أيضًا باسم Logjam، بأن يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة بخفض مستوى الأمان إلى 512 بت DH إذا كان الخادم يدعم مجموعات تشفير مفاتيح DH عابرة ذات قوة تصدير. وتمت معالجة المشكلة من خلال زيادة الحد الأدنى من الحجم الافتراضي المسموح لمفاتيح DH عابرة إلى 768 بت.

    CVE-ID

    CVE-2015-4000: فريق weakdh لدى weakdh.org،‏ Hanno Boeck

  • DiskImages

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    التأثير: وجود مشكلة كشف عن المعلومات في معالجة صور القرص. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3690:‏ Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • FontParser

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

    الوصف: توجد العديد من مشاكل تلف الذاكرة أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشاكل من خلال التحقق المحسن من صحة الإدخال.

    CVE-ID

    CVE-2015-3694:‏ John Villamil (@day6reak)‎، من فريق Yahoo Pentest Team

    CVE-2015-3719:‏ John Villamil (@day6reak)‎، من فريق Yahoo Pentest Team

  • ImageIO

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي معالجة ملف ‎.tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت مشكلة تلف الذاكرة خلال معالجة ملفات ‎.tiff. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3703:‏ Apple

  • ImageIO

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: توجد العديد من الثغرات الأمنية في libtiff، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت العديد من نقاط الضعف في إصدارات libtiff الأقدم من 4.0.4. وتمت معالجتها عن طريق تحديث libtiff إلى الإصدار 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجدت مشكلة تتلعق بإدارة الذاكرة، أثناء معالجة معلمات HFS، قد تؤدي إلى الكشف عن تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3721:‏ Ian Beer من Google Project Zero
  • البريد

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي بريد إلكتروني متطفل إلى استبدال محتوى الرسالة بصفحة ويب إجبارية عند عرض الرسالة

    الوصف: توجد مشكلة في دعم البريد الإلكتروني HTML مما يتيح إعادة تحميل محتوى الرسالة بصفحة ويب إجبارية. وتمت معالجة المشكلة من خلال تقييد الدعم لمحتوى HTML.

    CVE-ID

    CVE-2015-3710:‏ Aaron Sigel من vtty.com،‏ Jan Souček

  • MobileInstallation

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي تطبيق ملف تعريف توفير عالمي متطفل إلى منع تشغيل أحد تطبيقات Watch

    الوصف: وجدت مشكلة في منطق تثبيت تطبيقات ملفات تعريف التوفير العالمية على Watch تسمح بحدوث تعارض مع معرفات الحزمة الموجودة. وتمت معالجة هذه المشكلة عبر الفحص المحسّن للتعارض.

    CVE-ID

    CVE-2015-3725:‏ Zhaofeng Chen وHui Xue وTao (Lenx) Wei من FireEye, Inc.‎

  • Safari

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تعرض معلومات المستخدم على نظام الملفات للخطر

    الوصف: وجود مشكلة بإدارة الحالة في Safari تسمح للأصول التي ليست لها أذونات بالوصول إلى محتويات على نظام الملفات. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

    CVE-ID

    CVE-2015-1155:‏ Joe Vennix من Rapid7 Inc.‎ يعمل مع مبادرة Zero Day لدى HP
     

  • Safari

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الاستيلاء على الحساب

    الوصف: وجدت مشكلة تتعلق بتمكن Safari من الاحتفاظ بعنوان الطلب "الأصلي" لعمليات إعادة التوجيه عبر الأصول، مما يسمح لمواقع الويب المتطفلة بالتحايل على عمليات حماية CSRF. تمت معالجة المشكلة عبر المعالجة المحسنة لإعادات التوجيه.

    CVE-ID

    CVE-2015-3658:‏ Brad Hill من Facebook

  • الأمان

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسبب مهاجم عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

    الوصف: توجد مشكلة تتعلق بتجاوز الحد الأقصى لعدد صحيح في رمز إطار الأمان لتوزيع البريد الإلكتروني S/MIME وبعض الكائنات الموقعة أو المشفرة الأخرى. وتمت معالجة هذه المشكلة عبر الفحص المحسّن للتحقق من الصحة.

    CVE-ID

    CVE-2013-1741

  • SQLite

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسبب مهاجم عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

    الوصف: وجدت العديد من حالات تجاوز التخزين المؤقت في تنفيذ printf الخاص بـ SQLite. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3717:‏ Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • SQLite

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يسمح أمر SQL متطفل بإنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وُجدت مشكلة متعلقة بواجهة برمجة التطبيقات API في وظيفة SQLite. وقد تم التصدي لهذه المشكلة عبر القيود المحسّنة.

    CVE-ID

    CVE-2015-7036:‏ Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • Telephony

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي بطاقات SIM متطفلة إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: توجد العديد من عمليات التحقق من الإدخال أثناء توزيع حمولات SIM/UIM. وتمت معالجة هذه المشاكل عبر التحقق المحسّن من صحة الحمولة.

    CVE-ID

    CVE-2015-3726:‏ Matt Spisak من Endgame

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    الأثر: قد تؤدي زيارة موقع ويب متطفل عن طريق النقر على ارتباط إلى انتحال واجهة المستخدم

    الوصف: وجود مشكلة في معالجة السمة 'rel' في عناصر الإرساء. قد تتمكن الكائنات الهدف من الوصول غير المصرح به لكائنات الارتباط. تمت معالجة هذه المشكلة عبر تحسين الالتزام بنوع الارتباط.

    CVE-ID

    CVE-2015-1156:‏ Zachary Durber من Moodle

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من مشاكل تلف الذاكرة في WebKit. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-1152:‏ Apple

    CVE-2015-1153:‏ Apple

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية عشوائية

    الوصف: توجد مشكلة تتعلق بمقارنة غير كافية في SQLite authorizer مما يسمح بالاستدعاء الإجباري لوظائف SQL. وتمت معالجة هذه المشكلة عبر الفحص المحسّن للاعتماد.

    CVE-ID

    CVE-2015-3659:‏ Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن موقع ويب متطفل من الوصول إلى قواعد بيانات WebSQL لمواقع الويب الأخرى

    الوصف: وجدت مشكلة تتعلق بعمليات التحقق من الاعتماد لجداول WebSQL قد تؤدي إلى وصول موقع ويب متطفل إلى قواعد البيانات المنتمية لمواقع ويب أخرى. وتمت معالجتها عبر الفحص المحسّن للاعتماد.

    CVE-ID

    CVE-2015-3727:‏ Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • اتصال Wi-Fi

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد ترتبط الأجهزة التي تعمل بنظام تشغيل iOS بنقاط وصول غير موثوقة التي تعلن عن معرف ESSID معروف ولكن بمستوى أمان منخفض

    الوصف: وُجدت مشكلة تتعلق بمقارنة غير كافية في تقييم إدارة Wi-Fi لإعلانات نقاط الوصول المعروفة. وتمت معالجة هذه المشكلة عبر تحسين المواءمة بين معلمات الأمان.

    CVE-ID

    CVE-2015-3728:‏ Brian W. Gray من Carnegie Mellon University،‏ Craig Young من TripWire

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: