نبذة حول محتوى أمان iOS 15 وiPadOS 15

يتناول هذا المستند محتوى أمان iOS 15 وiPadOS 15.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

iOS 15 وiPadOS 15

تاريخ الإصدار: 20 سبتمبر 2021

Accessory Manager

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Pro (جميع الطرازات)، وiPad Air 2 والإصدارات الأحدث، وiPad الجيل الخامس والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch (الجيل السابع)

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30837:‏ ‎Siddharth Aeri (@b1n4r1b01)‎

AppleMobileFileIntegrity

التأثير: قد يتمكّن مخترق محلي من قراءة معلومات حساسة

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30811: باحث غير معلوم الهوية بالاشتراك مع Compartir

Apple Neural Engine

متوفر للأجهزة المزودة بـ Apple Neural Engine:‏ iPhone 8 والإصدارات الأحدث، وiPad Pro (الجيل الثالث) والإصدارات الأحدث، وiPad Air (الجيل الثالث) والإصدارات الأحدث، وiPad mini (الجيل الخامس)

التأثير: قد يتمكن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام على الأجهزة المزودة بـ Apple Neural Engine

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30838:‏ proteas wang

bootp

التأثير: يمكن تتبع الجهاز بلا مقاومة عبر عنوان WiFi MAC الخاص به

الوصف: تمت معالجة مشكلة خصوصية المستخدم من خلال إزالة عنوان MAC للبث.

CVE-2021-30866:‏ Fabien Duchêne من UCLouvain (بلجيكا)

تاريخ إضافة الإدخال: 25 أكتوبر 2021

CoreAudio

التأثير: قد تؤدي معالجة ملف صوتي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30834:‏ JunDong Xie من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

CoreGraphics

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2021-30928: ‏Mickey Jin (@patch1t)‎ من Trend Micro

تاريخ إضافة الإدخال: 19 يناير 2022

CoreML

التأثير: قد يتسبب مخترق محلي في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية.

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30825:‏ hjy79425575 بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

Face ID

متوفر للأجهزة المزودة بـ Face ID‏: iPhone X وiPhone XR وiPhone XS (جميع الطرازات) وiPhone 11 (جميع الطرازات) وiPhone 12 (جميع الطرازات) وiPad Pro (11 بوصة) وiPad Pro (الجيل الثالث)

التأثير: قد يتمكن نموذج 3D المصمم بحيث يبدو مثل المستخدم المسجل من المصادقة من خلال Face ID

الوصف: تمت معالجة هذه المشكلة من خلال تحسين نماذج مانعة لخداع Face ID.

CVE-2021-30863:‏ ‎Wish Wu (吴潍浠 @wish_wu)‎ من Ant Group Tianqiong Security Lab

تاريخ تحديث الإدخال: 19 يناير 2022

FaceTime

التأثير: قد يتمكن مخترق لديه إمكانية الوصول الفعلي إلى جهاز من الاطلاع على معلومات الاتصال الخاصة

الوصف: تمت معالجة المشكلة من خلال منطق الأذونات المحسّن.

CVE-2021-30816:‏ ‎Atharv (@atharv0x0)‎

تاريخ إضافة الإدخال: 25 أكتوبر 2021

FaceTime

التأثير: قد يتمكن تطبيق لديه إذن الوصول إلى ميكروفون من الوصول بشكل غير متوقع إلى إدخال الميكروفون أثناء مكالمة FaceTime

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال التحقق المحسّن من الصحة.

CVE-2021-30882:‏ Adam Bellard وSpencer Reitman من Airtime

تاريخ إضافة الإدخال: 25 أكتوبر 2021

FontParser

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2021-30831:‏ Xingwei Lin من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

FontParser

التأثير: قد تؤدي معالجة ملف dfont متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30840:‏ Xingwei Lin من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

FontParser

التأثير: قد تؤدي معالجة ملف dfont متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30841:‏ Xingwei Lin من Ant Security Light-Year Lab

CVE-2021-30842:‏ Xingwei Lin من Ant Security Light-Year Lab

CVE-2021-30843:‏ Xingwei Lin من Ant Security Light-Year Lab

Foundation

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30852:‏ ‎Yinyi Wu (@3ndy1)‎ من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

iCloud Photo Library

التأثير: قد يتمكن تطبيق ضار من الوصول إلى بيانات تعريف الصور دون الحاجة إلى إذن للوصول إلى الصور

الوصف: تمت معالجة المشكلة من خلال المصادقة المحسّنة.

CVE-2021-30867:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

تاريخ إضافة الإدخال: 25 أكتوبر 2021

ImageIO

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2021-30814:‏ hjy79425575

تاريخ إضافة الإدخال: 25 أكتوبر 2021

ImageIO

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30835:‏ Ye Zhang من Baidu Security

CVE-2021-30847:‏ Mike Zhang من Pangu Lab

Kernel

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض من خلال القفل المحسن.

CVE-2021-30857: Manish Bhatt من Red Team X @Meta وZweig من Kunlun Lab

تاريخ تحديث الإدخال: 25 مايو 2022

libexpat

الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة

الوصف: تمت معالجة هذه المشكلة من خلال تحديث expat إلى الإصدار 2.4.1.

CVE-2013-0340: باحث غير معلوم الهوية

Model I/O

التأثير: قد تؤدي معالجة ملف USD متطفّل إلى الكشف عن محتويات الذاكرة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2021-30819:‏ Apple

NetworkExtension

التأثير: قد يتم تثبيت تكوين VPN بواسطة أحد التطبيقات دون الحصول على إذن من المستخدم

الوصف: تمت معالجة مشكلة تتعلق بالمصادقة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30874:‏ ‎Javier Vieira Boccardo (linkedin.com/javier-vieira-boccardo)‎

تاريخ إضافة الإدخال: 25 أكتوبر 2021

Preferences

التأثير: قد يتمكن تطبيق من الوصول إلى الملفات المقيدة

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المُحسّن من روابط النظام.

CVE-2021-30855:‏ ‎Zhipeng Huo (@R3dF09)‎ و‎Yuebin Sun (@yuebinsun2020)‎ من ‎Tencent Security Xuanwu Lab (xlab.tencent.com)‎

Preferences

التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30854:‏ ‎Zhipeng Huo (@R3dF09)‎ و‎Yuebin Sun (@yuebinsun2020)‎ من ‎Tencent Security Xuanwu Lab (xlab.tencent.com)‎

Privacy

التأثير: قد يتمكن أحد التطبيقات الضارة من الوصول إلى بعض معلومات حساب Apple ID الخاص بالمستخدم، أو مصطلحات البحث الحديثة داخل التطبيق

الوصف: تمت معالجة مشكلة تتعلق بالوصول من خلال فرض مزيد من قيود وضع الأمان على تطبيقات الأطراف الخارجية.

CVE-2021-30898:‏ Steven Troughton-Smith من ‎High Caffeine Content (@stroughtonsmith)‎

تاريخ إضافة الإدخال: 19 يناير 2022

Quick Look

التأثير: قد تؤدي معاينة ملف html مرفق بملاحظة إلى الاتصال بالخوادم البعيدة بشكل غير متوقع

الوصف: توجد مشكلة منطقية في معالجة تحميل المستندات. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30870:‏ Saif Hamed Al Hinai Oman CERT

تاريخ إضافة الإدخال: 25 أكتوبر 2021

Sandbox

التأثير: قد يتمكّن أحد التطبيقات الضارة من تجاوز تفضيلات "الخصوصية"

الوصف: تمت معالجة المشكلة من خلال منطق الأذونات المحسّن.

CVE-2021-30925:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

تاريخ إضافة الإدخال: 19 يناير 2022

Sandbox

التأثير: قد يتمكن أحد التطبيقات الضارة من تعديل أجزاء محمية من نظام الملفات

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30808:‏ ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security

تاريخ إضافة الإدخال: 25 أكتوبر 2021

Siri

التأثير: قد يتمكن مخترق محلي من عرض جهات الاتصال من شاشة القفل

الوصف: وجدت مشكلة في شاشة القفل كانت تسمح بالوصول إلى جهات الاتصال على الأجهزة المقفولة. وتمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30815:‏ ‎Anshraj Srivastava (@AnshrajSrivas14)‎ من UKEF

تاريخ تحديث الإدخال: 19 يناير 2022

Telephony

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود الوصول المحسّنة.

CVE-2021-31001: Rajanish Pathak (@h4ckologic) وHardik Mehta (@hardw00t)

تاريخ إضافة الإدخال: 25 مايو 2022

Telephony

متوفر لما يلي: iPhone SE (الجيل الأول)، وiPad Pro ‏12.9 بوصة، وiPad Air 2، وiPad (الجيل الخامس) وiPad mini 4

التأثير: في حالات معينة، قد يفشل النطاق الأساسي في تمكين حماية التكامل والتشفير

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30826:‏ CheolJun Park وSangwook Bae وBeomSeok Oh من KAIST SysSec Lab

WebKit

التأثير: قد لا ينطبق إيقاف تشغيل "حظر كل المحتوى البعيد" على كافة أنواع المحتوى البعيد

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-31005:‏ Jonathan Austin من Wells Fargo, Attila Soki

تاريخ إضافة الإدخال: 31 مارس 2022

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-31008

تاريخ إضافة الإدخال: 31 مارس 2022

WebKit

التأثير: ربما يقوم موقع ويب ضار بالتصفية المسبقة لبيانات عبر الأصل

الوصف: وجدت مشكلة في مواصفات واجهة برمجة التطبيقات (API) الخاصة بتوقيت المورد. تم تحديث المواصفات وتنفيذ المواصفات المحدثة.

CVE-2021-30897: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 19 يناير 2022

WebKit

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن سجل الاستعراض الخاص بالمستخدم.

الوصف: تم حل المشكلة عن طريق استخدام قيود إضافية على تكوين CSS.

CVE-2021-30884: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بخلط الأنواع من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30818:‏ ‎Amar Menezes (@amarekano)‎ من Zon8Research

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى قراءة ذاكرة مقيّدة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2021-30836: ‏Peter Nguyen Vu Hoang من STAR Labs

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2021-30809: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30846:‏ Sergei Glazunov من Google Project Zero

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30848:‏ Sergei Glazunov من Google Project Zero

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2021-30849:‏ Sergei Glazunov من Google Project Zero

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية

الوصف: تمت معالجة ثغرة أمنية لتلف الذاكرة من خلال القفل المحسَّن.

CVE-2021-30851:‏ Samuel Groß من Google Project Zero

WebRTC

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات مستخدم حساسة

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2021-30930‏: Oguz Kırat‏، Matthias Keller‏ (m-keller.com)

تمت إضافة الإدخال في 16 سبتمبر 2022

Wi-Fi

التأثير: قد يتمكن أحد المخترقين في منطقة قريبة بالفعل من فرض دخول مستخدم إلى شبكة Wi-Fi ضارة أثناء إعداد الجهاز

الوصف: تمت معالجة مشكلة تتعلق بالمصادقة من خلال الإدارة المحسّنة للحالة.

CVE-2021-30810:‏ Peter Scott

تاريخ تحديث الإدخال: 19 يناير 2022

تقدير آخر

Assets

يسعدنا أن نتوجّه بخالص الشكر إلى Cees Elzinga على تقديم المساعدة لنا.

Bluetooth

يسعدنا أن نتوجّه بخالص الشكر إلى Dennis Heinze (@ttdennis) من TU Darmstadt، Secure Mobile Networking Lab على تقديم المساعدة لنا.

تاريخ تحديث الإدخال: 25 مايو 2022

bootp

يسعدنا أن نتوجّه بخالص الشكر إلى Alexander Burke من alexburke.ca على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 31 مارس 2022، تاريخ تحديث الإدخال: 25 مايو 2022

FaceTime

Mohammed Waqqas Kakangarai

تاريخ إضافة الإدخال: 25 مايو 2022

File System

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Siddharth Aeri (@b1n4r1b01)‎ على تقديم المساعدة لنا.

Kernel

يسعدنا أن نتوجّه بخالص الشكر إلى Joshua Baums من Informatik Baums على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 31 مارس 2022

Sandbox

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Csaba Fitzl (@theevilbit)‎ من Offensive Security على تقديم المساعدة لنا.

UIKit

يسعدنا أن نتوجّه بخالص الشكر إلى Jason Rendel من Diligent على تقديم المساعدة لنا.

تاريخ تحديث الإدخال: 31 مارس 2022

WebKit

يسعدنا أن نتوجّه بخالص الشكر إلى Nikhil Mittal (@c0d3G33k) وباحث مجهول الهوية على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 31 مارس 2022، تاريخ تحديث الإدخال: 25 مايو 2022

WebRTC

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Matthias Keller (m-keller.com)‎ على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 31 مارس 2022

Wi-Fi

يسعدنا أن نتوجّه بخالص الشكر إلى Peter Scott على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 25 مايو 2022

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: 28 أيلول 2022