لقد تمت أرشفة هذا المقال ولم تعد Apple تحدثه.

نبذة عن محتوى أمان لتحديث الأمان 2008-003 / Mac OS X 10.5.3

يتناول هذا المستند محتوى الأمان لتحديث الأمان 2008-003 / Mac OS X 10.5.3، والذي يمكن تنزيله وتثبيته عبر تفضيلات "تحديث البرامج"، أو من تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات الأمنية لمزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."

تحديث الأمان 2008-003 / Mac OS X الإصدار 10.5.3

AFP Server

CVE-ID:‏ CVE-2008-1027

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5 إلى الإصدار 10.5.2، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: يمكن الوصول إلى الملفات غير المخصصة للمشاركة عن بعد.

الوصف: لم يتحقق AFP Server من وجود ملف أو دليل يتم تقديمه داخل مجلد مخصص للمشاركة. يمكن للمستخدم أو الضيف المتصل الوصول إلى أي ملفات أو مجلدات لديه إذن بها، حتى إذا لم تكن مضمنة في المجلدات المخصصة للمشاركة. يعالج هذا التحديث المشكلة من خلال رفض الوصول إلى الملفات والمجلدات غير الموجودة داخل مجلد مخصص للمشاركة. نشكر Alex deVries وRobert Rich على الإبلاغ عن هذه المشكلة.

Apache

CVE-ID:‏ CVE-2005-3352،‏ CVE-2005-3357،‏ CVE-2006-3747،‏ CVE-2007-1863،‏ CVE-2007-3847،‏ CVE-2007-4465،‏ CVE-2007-5000،‏ CVE-2007-6388

متوفر لما يلي: Mac OS X Server الإصدار 10.4.11

التأثير: العديد من الثغرات الأمنية في Apache 2.0.55

الوصف: يتم تحديث Apache إلى الإصدار 2.0.63 لمعالجة العديد من الثغرات الأمنية، التي قد يؤدي أشدها خطورة إلى البرمجة النصية بين المواقع. يتوفر مزيد من المعلومات عبر موقع الويب الخاص بـ Apache على http://httpd.apache.org. يتوفر Apache 2.0.x فقط مع أنظمة Mac OS X Server الإصدار ‎10.4.x. Mac OS X الإصدار ‎10.5.x وMac OS X Server الإصدار ‎10.5.x مزودان بـ Apache 2.2.x. تمت معالجة المشاكل التي أثرت على Apache 2.2.x في تحديث الأمان 2008-002 لـ Mac OS X الإصدار 10.5.2 وMac OS X Server الإصدار 10.5.2.

AppKit

CVE-ID:‏ CVE-2008-1028

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يؤدي فتح ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشكلة في التنفيذ في معالجة AppKit لملفات المستندات. قد يؤدي فتح ملف متطفل في محرر يستخدم AppKit، مثل TextEdit، إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن من ملفات المستندات. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X 10.5 أو الأحدث. نشكر Rosyna من Unsanity على الإبلاغ عن هذه المشكلة.

Apple Pixlet Video

CVE-ID:‏ CVE-2008-1577

التأثير: قد يؤدي فتح ملف فيلم متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: وُجدت العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة الملفات باستخدام برنامج ترميز Pixlet. قد يؤدي فتح ملف فيلم متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود.

ATS

CVE-ID:‏ CVE-2008-1575

متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.2، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: قد تؤدي طباعة مستند PDF يحتوي على خط مضمن متطفل إلى تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشكلة متعلقة بتلف الذاكرة في معالجة خادم Apple Type Services للخطوط المضمنة في ملفات PDF. قد تؤدي طباعة مستند PDF يحتوي على خط متطفل إلى تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال إجراء التحقق الإضافي من الخطوط المضمنة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X. نشكر Melissa O'Neill من Harvey Mudd College على الإبلاغ عن هذه المشكلة.

CFNetwork

CVE-ID:‏ CVE-2008-1580

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الكشف عن معلومات حساسة.

الوصف: توجد مشكلة متعلقة بالكشف عن المعلومات في معالجة شهادة عميل SSL في سفاري. عندما يصدر خادم الويب طلب شهادة عميل، يتم إرسال أول شهادة عميل موجودة في سلسلة المفاتيح تلقائيًا، مما قد يؤدي إلى الكشف عن المعلومات الواردة في الشهادة. يعالج هذا التحديث المشكلة عن طريق مطالبة المستخدم قبل إرسال الشهادة.

CoreFoundation

CVE-ID:‏ CVE-2008-1030

التأثير: قد يؤدي استخدام التطبيقات لواجهة برمجة تطبيقات CFData بطرق معينة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: قد يؤدي تجاوز عدد صحيح في معالجة CoreFoundation لكائنات CFData إلى تجاوز سعة التخزين المؤقت لكومة الذاكرة. قد يتم إنهاء تطبيق يستدعي CFDataReplacBytes باستخدام وسيطة طول غير صالحة بشكل غير متوقع أو يؤدي إلى تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال إجراء التحقق الإضافي من معلمات الطول.

CoreGraphics

CVE-ID:‏ CVE-2008-1031

التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشكلة متعلقة بمتغير غير مهيأ في معالجة CoreGraphics لملفات PDF. قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التهيئة المناسبة للمؤشرات.

CoreTypes

CVE-ID:‏ CVE-2008-1032

التأثير: لا يتم تحذير المستخدمين قبل فتح بعض أنواع المحتوى التي يُحتمل أن تكون غير آمنة.

الوصف: يوسع هذا التحديث قائمة النظام بأنواع المحتوى التي سيتم تمييزها على أنها قد تكون غير آمنة في ظل ظروف معينة، مثلما يحدث عند تنزيلها من صفحة ويب. على الرغم من أن أنواع المحتوى هذه لا يتم تشغيلها تلقائيًا، إلا أنه إذا تم فتحها يدويًا فقد تؤدي إلى تنفيذ حمولة ضارة. يعمل هذا التحديث على تحسين قدرة النظام على إخطار المستخدمين قبل التعامل مع أنواع المحتوى التي يستخدمها "المؤتمت" و"المساعدة" و"سفاري" و"الوحدة الطرفية". في Mac OS X الإصدار 10.4، يتم توفير هذه الوظيفة من خلال ميزة "التحقق من التنزيل". في Mac OS X الإصدار 10.5، يتم توفير هذه الوظيفة من خلال ميزة "العزل". نشكر Brian Mastenbrook على الإبلاغ عن هذه المشكلة.

CUPS

CVE-ID:‏ CVE-2008-1033

متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.2، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: قد تؤدي الطباعة من خلال الطابعات المحمية بكلمة سر مع تمكين تسجيل تصحيح الأخطاء إلى الكشف عن معلومات حساسة.

الوصف: توجد مشكلة متعلقة بالتحقق من مجدول CUPS لمتغيرات بيئة المصادقة عند تمكين تسجيل تصحيح الأخطاء. قد يؤدي ذلك إلى الكشف عن اسم المستخدم والنطاق وكلمة السر عند الطباعة من خلال طابعة محمية بكلمة سر. يعالج هذا التحديث المشكلة من خلال التحقق من متغيرات البيئة بشكل صحيح. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X المثبت عليها تحديث الأمان 2008-002.

Flash Player Plug-in

CVE-ID:‏ CVE-2007-5275،‏ CVE-2007-6243،‏ CVE-2007-6637،‏ CVE-2007-6019،‏ CVE-2007-0071،‏ CVE-2008-1655،‏ CVE-2008-1654

التأثير: قد يؤدي فتح محتوى Flash متطفل إلى تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشاكل متعددة متعلقة بالمكون الإضافي لـ Adobe Flash Player، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحديث إلى الإصدار 9.0.124.0. يتوفر مزيد من المعلومات عبر موقع الويب الخاص بـ Adobe على http://www.adobe.com/support/security/bulletins/apsb08-11.html

Help Viewer

CVE-ID:‏ CVE-2008-1034

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يؤدي عنوان URL ضار خاص بـ help:topic إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: قد يؤدي انخفاض تجاوز عدد صحيح في معالجة Help Viewer لعناوين URL الخاصة بـ help:topic إلى تجاوز سعة التخزين المؤقت. قد يؤدي الوصول إلى عنوان URL ضار خاص بـ help:topic إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X 10.5 أو الأحدث. نشكر Paul Haddad من PTH Consulting على الإبلاغ عن هذه المشكلة.

iCal

CVE-ID:‏ CVE-2008-1035

متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.2، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: قد يؤدي فتح ملف iCalendar متطفل في iCal إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشكلة متعلقة باستخدام الذاكرة المُحررة في معالجة تطبيق iCal لملفات iCalendar (عادة "‎.ics"). قد يؤدي فتح ملف iCalendar متطفل في iCal إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال تحسين العد المرجعي في التعليمة البرمجية المتأثرة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X. نشكر Rodrigo Carvalho من Core Security Technologies على الإبلاغ عن هذه المشكلة.

International Components for Unicode

CVE-ID:‏ CVE-2008-1036

التأثير: قد تؤدي زيارة مواقع ويب معينة إلى الكشف عن معلومات حساسة.

الوصف: توجد مشكلة متعلقة بالتحويل في معالجة وحدة المعالجة المركزية لترميزات أحرف معينة. قد لا تظهر تسلسلات أحرف معينة غير صالحة في الإخراج المحول، وقد يؤثر ذلك على فلاتر المحتوى. قد تؤدي زيارة موقع ويب متطفل إلى البرمجة النصية بين المواقع والكشف عن معلومات حساسة. يعالج هذا التحديث المشكلة من خلال استبدال تسلسلات الأحرف غير الصالحة بحرف تراجع.

Image Capture

CVE-ID:‏ CVE-2008-1571

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يؤدي الوصول إلى عنوان URL متطفل إلى الكشف عن المعلومات.

الوصف: توجد مشكلة في اجتياز المسار في خادم الويب المضمن في Image Capture. قد يؤدي ذلك إلى الكشف عن الملفات المحلية على نظام الخادم. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لعنوان URL. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.5 أو الأحدث.

Image Capture

CVE-ID:‏ CVE-2008-1572

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يتعامل مستخدم محلي مع الملفات بامتيازات مستخدم آخر يقوم بتشغيل "التقاط الصور".

الوصف: توجد عملية ملف غير آمنة في معالجة Image Capture للملفات المؤقتة. قد يسمح ذلك لمستخدم محلي باستبدال الملفات بامتيازات مستخدم آخر يقوم بتشغيل Image Capture، أو بالوصول إلى محتويات الصور التي يجري تغيير حجمها. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة للملفات المؤقتة. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.5 أو الأحدث.

ImageIO

CVE-ID:‏ CVE-2008-1573

التأثير: قد يؤدي عرض صورة BMP أو GIF متطفلة إلى الكشف عن المعلومات.

الوصف: قد تحدث قراءة ذاكرة خارج الحدود في محرك فك تشفير صورة BMP وGIF، مما قد يؤدي إلى الكشف عن المحتوى الموجود في الذاكرة. يعالج هذا التحديث المشكلة من خلال إجراء عملية تحقق إضافية لصور BMP وGIF. نشكر Gynvael Coldwind من Hispasec على الإبلاغ عن هذه المشكلة.

ImageIO

CVE-ID:‏ CVE-2007-5266،‏ CVE-2007-5268،‏ CVE-2007-5269

التأثير: العديد من الثغرات الأمنية في الإصدار 1.2.18 من libpng

الوصف: توجد العديد من الثغرات الأمنية في الإصدار 1.2.18 من libpng، التي قد يؤدي أشدها خطورة إلى رفض الخدمة عن بعد. يعالج هذا التحديث المشكلة من خلال التحديث إلى الإصدار 1.2.24. يتوفر مزيد من المعلومات عبر موقع الويب الخاص بـ libpng على http://www.libpng.org/pub/png/libpng.html

ImageIO

CVE-ID:‏ CVE-2008-1574

التأثير: قد تؤدي عملية عرض ملف صورة JPEG2000 متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: قد يؤدي تجاوز عدد صحيح في معالجة ملفات صور JPEG2000 إلى تجاوز سعة التخزين المؤقت لكومة الذاكرة. قد تؤدي عملية عرض ملف صورة JPEG2000 متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق الإضافي من صور JPEG2000.

Kernel

CVE-ID:‏ CVE-2008-0177

متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.2، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: قد يتمكن مخترق عن بعد من التسبب في إيقاف تشغيل النظام بشكل غير متوقع.

الوصف: توجد حالة فشل غير مكتشفة في التعامل مع الحزم التي تحتوي على رأس IPComp. من خلال إرسال حزمة متطفلة إلى نظام تم تكوينه لاستخدام IPSec أو IPv6، قد يتسبب المخترق في إيقاف تشغيل النظام بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال اكتشاف حالة الفشل بشكل صحيح.

Kernel

CVE-ID:‏ CVE-2007-6359

متوفر لما يلي: Mac OS X الإصدار 10.5 إلى الإصدار 10.5.2، Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: قد يتمكن مستخدم محلي من التسبب في إيقاف تشغيل النظام بشكل غير متوقع.

الوصف: وُجد عدم مرجعية صفرية للمؤشر في معالجة kernel لتوقيعات التعليمات البرمجية في وظيفة cs_valifiation_page. قد يسمح هذا لمستخدم محلي بالتسبب في إيقاف تشغيل النظام بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال إجراء التحقق الإضافي من توقيعات التعليمات البرمجية. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X.

LoginWindow

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد لا يتم تطبيق تفضيلات "عميل تتم إدارته".

الوصف: يعالج هذا التحديث مشكلة غير متعلقة بالأمان تم تقديمها في تحديث الأمان 2007-004. نظرًا لحالة التعارض، قد يفشل LoginWindow في تطبيق تفضيلات معينة على الأنظمة التي يديرها "عميل تتم إدارته" لـ Mac OS X (MCX)‎. يعالج هذا التحديث المشكلة من خلال إزالة حالة التعارض في التعامل مع التفضيلات المدارة. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.5.

Mail

CVE-ID:‏ CVE-2008-1576

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يؤدي إرسال البريد عبر خادم SMTP عبر IPv6 إلى إنهاء غير متوقع للتطبيق أو الكشف عن المعلومات أو تنفيذ تعليمة برمجية عشوائية.

الوصف: توجد مشكلة متعلقة بالمخزن المؤقت غير المهيأ في Mail. عند إرسال البريد عبر خادم SMTP عبر IPv6، قد يستخدم Mail مخزنًا مؤقتًا يحتوي على ذاكرة غير مهيأة جزئيًا، مما قد يؤدي إلى الكشف عن معلومات حساسة لمستلمي الرسائل ومسؤولي خادم البريد. قد يؤدي هذا أيضًا إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال تهيئة المتغير بشكل صحيح. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.5 أو الأحدث. نشكر Derek Morr من The Pennsylvania State University على الإبلاغ عن هذه المشكلة.

ruby

CVE-ID:‏ CVE-2007-6612

التأثير: قد يتمكن مخترق عن بعد من قراءة ملفات عشوائية.

الوصف: تم تحديث Mongrel إلى الإصدار 1.1.4 لمعالجة مشكلة اجتياز الدليل في DirHandler والتي قد تؤدي إلى الكشف عن معلومات حساسة. يتوفر مزيد من المعلومات عبر موقع الويب الخاص بـ Mongrel على http://rubyforge.org/projects/mongrel/.

Single Sign-On

CVE-ID:‏ CVE-2008-1578

التأثير: قد تكون كلمات السر المقدّمة لـ sso_util عُرضة للظهور لدى مستخدمين محليين آخرين.

الوصف: استلزمت أداة سطر الأوامر sso_util تمرير كلمات السر إليها في وسيطاتها، ما يؤدي إلى أن تكون كلمات السر عُرضة للظهور لدى مستخدمين محليين آخرين. تتضمن كلمات السر العُرضة للظهور تلك الخاصة بالمستخدمين والمسؤولين وكلمة سر إدارة KDC. يجعل هذا التحديث معلمة كلمة السر اختيارية، وسيطلب sso_util إدخال كلمة السر عند اللزوم. نشكر Geoff Franks من Hauptman Woodward Institute على الإبلاغ عن هذه المشكلة.

Wiki Server

CVE-ID:‏ CVE-2008-1579

متوفر لما يلي: Mac OS X Server الإصدار 10.5 إلى الإصدار 10.5.2

التأثير: قد يحدد مخترق عن بعد أسماء مستخدمين صالحة على الخوادم الممكن بها Wiki Server.

الوصف: توجد مشكلة متعلقة بالكشف عن المعلومات في Wiki Server عند الوصول إلى مدونة غير موجودة. باستخدام المعلومات الواردة في رسالة الخطأ، قد يستنتج المخترق وجود أسماء مستخدمين محلية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لرسائل الخطأ. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X. نشكر Don Rainer من University of Cincinnati على الإبلاغ عن هذه المشكلة.

مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.

تاريخ النشر: 11 أبريل 2024