نبذة عن محتوى أمان iPhone الإصدار 2.1
يتناول هذا المستند محتوى أمان iPhone الإصدار 2.1.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
لمعرفة معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
iPhone الإصدار 2.1
Application Sandbox
CVE-ID: CVE-2008-3631
متوفر لما يلي: iPhone من الإصدار 2.0 حتى الإصدار 2.0.2
التأثير: يمكن لأي تطبيق قراءة ملفات التطبيقات الأخرى
الوصف: لا يفرض Application Sandbox قيود الوصول كما ينبغي بين تطبيقات الجهات الخارجية. وقد يسمح هذا لإحدى تطبيقات الجهات الخارجية بقراءة ملفات في وضع الحماية الخاص بتطبيق جهة خارجية آخر، ومن ثم الكشف عن معلومات حساسة. يعالج هذا التحديث المشكلة من خلال فرض قيود الوصول اللازمة بين أوضاح الحماية الخاصة بالتطبيقات. ويسعدنا أن نتوجّه بخالص الشكر إلى Nicolas Seriot من Sen:te وBryce Cogswell للإبلاغ عن هذا المشكلة. لا تؤثر هذه المشكلة على إصدارات iPhone الأقدم من الإصدار 2.0.
CoreGraphics
CVE-ID: CVE-2008-1806، CVE-2008-1807، CVE-2008-1808
متوفر لما يلي: iPhone الإصدار 1.0 حتى الإصدار 2.0.2
التأثير: وجود ثغرات متعددة في FreeType الإصدار 2.3.5
الوصف: توجد ثغرات متعددة في FreeType الإصدار 2.3.5، وقد يؤدي أخطرها إلى تنفيذ تعليمات برمجية عشوائية عند الوصول إلى بيانات خطوط متطفلة. يعالج هذا التحديث المشكلة من خلال دمج إصلاحات الأمان من الإصدار 2.3.6 من FreeType. تتوفر المزيد من المعلومات على موقع FreeType الإلكتروني على http://www.freetype.org/
mDNSResponder
CVE-ID: CVE-2008-1447
متوفر لما يلي: iPhone الإصدار 1.0 حتى الإصدار 2.0.2
التأثير: قد يتعرض mDNSResponder لاختراق ذاكرة التخزين المؤقت عبر عنوان DNS ووصول معلومات مزيفة
الوصف: يسمح mDNSResponder بالتنقل بين أسماء المضيفين وعناوين IP للتطبيقات التي تستخدم واجهة برمجة التطبيقات (API) أحادية البث لتحويل اسم المجال إلى عناوين باستخدام DNS. وقد تسمح الثغرة الموجودة في بروتوكول DNS لمخترق عن بُعد باختراق ذاكرة التخزين المؤقت عبر DNS. وبذلك، يمكن وصول معلومات مزيفة إلى التطبيقات التي تستخدم mDNSResponder لنظام DNS. يعالج هذا التحديث هذه المشكلة من خلال تطبيق التوزيع العشوائي لمُعرّف المعاملة والمنفذ المصدر لتحسين القدرة على مقاومة اختراق ذاكرة التخزين المؤقت. نشكر Dan Kaminsky من IOActive للإبلاغ عن هذه المشكلة.
Networking
CVE-ID: CVE-2008-3612
متوفر لما يلي: iPhone الإصدار 1.0 حتى الإصدار 2.0.2
التأثير: قد يؤدي إنشاء أرقام تسلسل أولية يمكن لاتصال TCP توقعها بسهولة إلى خداع TCP أو الاستيلاء على الجلسة
الوصف: يتم إنشاء أرقام التسلسل الأولية لاتصال TCP بشكل متتابع. وأرقام التسلسل الأولية هذه، التي يمكن توقعها بسهولة، قد تسمح لمخترق عن بُعد بإنشاء اتصال TCP زائف أو إدخال بيانات إلى اتصال TCP حالي. يعالج هذا التحديث المشكلة من خلال إنشاء أرقام تسلسل أولية لاتصال TCP.
Passcode Lock
CVE-ID: CVE-2008-3633
متوفر لما يلي: iPhone من الإصدار 2.0 حتى الإصدار 2.0.2
التأثير: قد يقوم مستخدم غير مصرح له بتجاوز قفل رمز الدخول وتشغيل تطبيقات iPhone
الوصف: تم تصميم ميزة قفل رمز الدخول لمنع تشغيل التطبيقات ما لم يتم إدخال رمز الدخول الصحيح. تتيح مشكلة التنفيذ في التعامل مع مكالمات الطوارئ للمستخدمين الذين لديهم إمكانية الوصول الفعلي إلى جهاز iPhone تشغيل تطبيق بدون رمز الدخول عن طريق النقر المزدوج على زر الصفحة الرئيسية في مكالمة الطوارئ. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنّة لمكالمات الطوارئ. يعود الفضل إلى Matthew Yohe من قسم الهندسة الكهربائية وهندسة الكمبيوتر في جامعة University of Iowa للإبلاغ عن هذه المشكلة. لا تؤثر هذه المشكلة على إصدارات iPhone الأقدم من الإصدار 2.0.
WebKit
CVE-ID: CVE-2008-3632
متوفر لما يلي: iPhone الإصدار 1.0 حتى الإصدار 2.0.2
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إيقاف غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تتعلق بالاستخدام بعد التحرير في معالجة WebKit لبيانات استيراد CSS. وقد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لمراجع المستندات.