نبذة حول محتوى الأمان لتحديث برامج iOS 6.1
يتناول هذا المستند محتوى أمان iOS 6.1.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.
وحيثما أمكن، يتم استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.
للتعرّف على تحديث الأمان الآخر، راجع تحديثات أمان Apple.
iOS 6.1
خدمات الهوية
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد يتم تجاوز المصادقة المعتمدة على مصادقة Apple ID المستندة إلى الشهادة
الوصف: وُجدت مشكلة تتعلق بالمعالجة في "خدمات الهوية". فإذا أخفق التحقق من صحة شهادة AppleID للمستخدم، فيعني ذلك أنه تم افتراض أن السلسلة الخالية تمثل AppleID. فإذا تعرّضت العديد من الأنظمة التي تتبع مستخدمين مختلفين لهذه الحالة، فقد يتم خطأً تمديد الثقة في التطبيقات التي تعتمد على هذا النوع من تحديد الهوية. تمت معالجة هذه المشكلة بالتأكد من تلقي NULL (قيمة خالية) بدلاً من أي سلسلة فارغة.
CVE-ID
CVE-2013-0963
المكونات الدولية لـ Unicode
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد تؤدي زيارة موقع ويب ضار إلى اختراق البرمجة النصية على مستوى الموقع
الوصف: وجدت مشكلة متعلقة بالتوحيد القياسي أثناء معالجة تشفير EUC-JP، الأمر الذي كان يؤدي إلى اختراق النصوص البرمجية على مستوى الموقع على المواقع التي تستخدم تشفير EUC-JP. وقد تمت معالجة هذه المشكلة عن طريق تحديث جدول تعيين EUC-JP.
CVE-ID
CVE-2011-3058 : Masato Kinugawa
Kernel
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد يتسنى لعملية في وضع المستخدم الوصول إلى الصفحة الأولى لذاكرة kernel
الوصف: يحتوي iOS kernel على عمليات فحص للتحقق أنّ تجاوز المؤشر والطول في وضع المستخدم إلى وظيفتي copyin وcopyout لن ينتج عنهما عملية في وضع المستخدم تتمكّن من الوصول إلى ذاكرة kernel مباشرة. ولا يتم استخدام عمليات الفحص إذا قلّ الطول عن صفحة واحدة. وقد تمت معالجة هذه المشكلة عبر عملية تحقق إضافية للوسيطات المؤدية إلى وظيفتي copyin وcopyout.
CVE-ID
CVE-2013-0964 : Mark Dowd من شركة Azimuth Security
الأمان
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التقاط بيانات اعتماد المستخدم أو غير ذلك من المعلومات الحساسة
الوصف: تم إصدار العديد من شهادات CA المتوسطة بطريق الخطأ من خلال TURKTRUST. وقد يتيح هذا الأمر لمخترق متسلل إعادة توجيه الاتصالات والتقاط بيانات اعتماد المستخدم أو غيرها من المعلومات الحساسة. وقد تمت معالجة هذه المشكلة من خلال عدم السماح بشهادات SSL غير الصحيحة.
StoreKit
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد يكون JavaScript ممكّنًا في Safari للجوّال بدون تدخّل المستخدم
الوصف: إذا قام مستخدم بتعطيل JavaScript في "تفضيلات Safari"، مع الانتقال إلى موقع يعرض Smart App Banner، كان يؤدي ذلك إلى إعادة تمكين JavaScript دون تحذير المستخدم. وقد تمت معالجة هذه المشكلة من خلال عدم تمكين JavaScript عند الانتقال إلى موقع يعرض Smart App Banner.
CVE-ID
CVE-2013-0974 : Andrew Plotkin من شركة Zarfhome Software Consulting، وBen Madison من BitCloud، وMarek Durcek
WebKit
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
الأثر: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية تحكمية
الوصف: وجود العديد من مشاكل تلف الذاكرة في WebKit. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2012-2857 : Arthur Gerkis
CVE-2012-3606 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2012-3607 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2012-3621 : Skylined من فريق أمان Google Chrome
CVE-2012-3632 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2012-3687 : kuzzcc
CVE-2012-3701 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0948 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0949 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0950 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0951 : Apple
CVE-2013-0952 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0953 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0954 : Dominic Cooney من شركة Google، وMartin Barbella من فريق أمان Google Chrome
CVE-2013-0955 : Apple
CVE-2013-0956 : أمان منتجات Apple
CVE-2012-2824 : miaubiz
CVE-2013-0958 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0959 : Abhishek Arya (Inferno) من فريق أمان Google Chrome
CVE-2013-0968 : Aaron Nelson
WebKit
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد يؤدي نسخ محتوى ولصقه في موقع ويب متطفل إلى هجوم على الموقع بأكمله عبر النص البرمجي
الوصف: وجدت مشكلة متعلقة بالنصوص البرمجية عبر الموقع في معالجة المحتوى الذي تم لصقه من أصل مختلف. وقد تمت معالجة هذه المشكلة عبر عملية تحقق إضافية من المحتوى الذي يتم لصقه.
CVE-ID
CVE-2013-0962 : Mario Heiderich من Cure53
WebKit
متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث
التأثير: قد تؤدي زيارة موقع ويب ضار إلى اختراق البرمجة النصية على مستوى الموقع
الوصف: وجدت مشكلة متعلقة بالنصوص البرمجية على مستوى الموقع في معالجة عناصر الإطار. وقد تمت معالجة هذه المشكلة عبر التتبع المحسن للأصل.
CVE-ID
CVE-2012-2889 : Sergey Glazunov
Wi-Fi
متوفر لما يلي: iPhone 3GS، وiPhone 4، وiPod touch (الجيل الرابع)، وiPad 2
التأثير: قد يتمكن مخترق عن بُعد موجود على شبكة Wi-Fi نفسها من تعطيل شبكة Wi-Fi مؤقتًا
الوصف: توجد مشكلة قراءة خارج الحدود في معالجة برامج BCM4325 وBCM4329 الثابتة التابعة لـ Broadcom ضمن عناصر معلومات 802.11i. وقد تمت معالجة هذه المشكلة من خلال عملية تحقق إضافية لعناصر معلومات 802.11i.
CVE-ID
CVE-2012-2619 : Andres Blanco وMatias Eissler من Core Security
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.