نبذة حول محتوى أمان الإصدار 10.11.4 من OS X El Capitan وتحديث الأمان 2016-002

يتناول هذا المستند محتوى أمان الإصدار 10.11.4 من OS X El Capitan وتحديث الأمان ‎2016-002.

لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

وحيثما أمكن، يتمّ استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.

للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.

الإصدار 10.11.4 من OS X El Capitan وتحديث الأمان ‎ 2016-002

  • apache_mod_php

    متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 حتى الإصدار 10.11.3 من نظام OS X El Capitan

    التأثير: قد تؤدي معالجة ملف png. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت العديد من الثغرات الأمنية في إصدارات libpng الأقدم من 1.6.20. وقد تمت معالجتها عبر تحديث libpng إلى الإصدار 1.6.20.

    CVE-ID

    CVE-2015-8126 ‏: Adam Mariš

    CVE-2015-8472 ‏: Adam Mariš

  • AppleRAID

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

    CVE-ID

    CVE-2016-1733 ‏: Proteas من Qihoo 360 Nirvan Team

  • AppleRAID

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel

    الوصف: وجدت مشكلة قراءة غير مسموح بها أدت إلى الكشف عن محتوى ذاكرة kernel. تمّ حلّ هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2016-1732 ‏: Proteas من Qihoo 360 Nirvan Team

  • AppleUSBNetworking

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن جهاز USB من التسبب في رفض الخدمة

    الوصف: وُجد خطأ أثناء المعالجة في التحقق من صحة الحزمة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للخطأ.

    CVE-ID

    CVE-2016-1734‏ : Andrea Barisani وAndrej Rosano من Inverse Path

  • Bluetooth

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1735‏ : Jeonghoon Shin@A.D.D

    CVE-2016-1736 ‏: beist وABH من BoB

  • Carbon

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد تؤدي معالجة ملف dfont. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشاكل عبر الفحص المحسن للحدود.

    CVE-ID

    CVE-2016-1737 ‏: HappilyCoded‏ (ant4g0nist &r3dsm0k3)

  • dyld

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد المخترقين من التلاعب في التطبيقات الموقّعة بتعليمة برمجية لتنفيذ تعليمة برمجية عشوائية في سياق التطبيق

    الوصف: وجدت مشكلة في التحقق من صحة توقيع التعليمة البرمجية في dyld. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الصحة.

    CVE-ID

    CVE-2016-1738 ‏: beist وABH من BoB

  • FontParser

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز

    الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1740 ‏: HappilyCoded ‏(ant4g0nist وr3dsm0k3) يعمل مع مبادرة Zero Day Initiative ‏(ZDI) من Trend Micro

  • HTTPProtocol

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت العديد من الثغرات الأمنية في إصدارات nghttp2 الأقدم من 1.6.0، وقد تؤدي أخطر تلك الثغرات إلى تنفيذ تعليمة برمجية عن بُعد. تمت معالجة هذه المشكلات عن طريق تحديث nghttp2 إلى الإصدار 1.6.0.

    CVE-ID

    CVE-2015-8659

  • برنامج تشغيل رسومات Intel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1743 ‏: Piotr Bania من Cisco Talos

    CVE-2016-1744 :‏ Ian Beer من Google Project Zero

  • IOFireWireFamily

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: يُمكن أن يتسبب مستخدم محلي في رفض الخدمة

    الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر خلال التحقق المحسّن من الصحّة.

    CVE-ID

    CVE-2016-1745‏ : sweetchip من Grayhash

  • IOGraphics

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

    CVE-ID

    CVE-2016-1746 ‏: Peter Pi من Trend Micro يعمل مع مبادرة Zero Day Initiative‏ (ZDI) من Trend Micro

    CVE-2016-1747 ‏: Juwei Lin من Trend Micro يعمل مع مبادرة Zero Day Initiative‏ (ZDI) من Trend Micro

  • IOHIDFamily

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكن أحد التطبيقات من تحديد تخطيط ذاكرة kernel

    الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1748‏ : Brandon Azad

  • IOUSBFamily

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1749 ‏: Ian Beer من Google Project Zero وJuwei Lin من Trend Micro يعمل مع مبادرة Zero Day Initiative ‏(ZDI) من Trend Micro

  • Kernel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره عبر الإدارة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1750 ‏: CESG

  • Kernel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: وجدت حالة تعارض أثناء إنشاء عمليات جديدة. تمّ حلّ هذه المشكلة عبر المعالجة المحسّنة للحالة.

    CVE-ID

    CVE-2016-1757 ‏: Ian Beer من Google Project Zero وPedro Vilaça

  • Kernel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر خلال التحقق المحسّن من الإدخال.

    CVE-ID

    ‏CVE-2016-1756 ‏: Lufeng Li من فريق Qihoo 360 Vulcan Team

  • Kernel

    متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 حتى الإصدار 10.11.3 من نظام OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    ‏CVE-2016-1754 ‏: Lufeng Li من فريق Qihoo 360 Vulcan Team

    CVE-2016-1755 :‏ Ian Beer من Google Project Zero

    CVE-2016-1759 ‏: lokihardt

  • Kernel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكن أحد التطبيقات من تحديد تخطيط ذاكرة kernel

    الوصف: وجدت مشكلة قراءة غير مسموح بها أدت إلى الكشف عن محتوى ذاكرة kernel. تمّ حلّ هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2016-1758‏ : Brandon Azad

  • Kernel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة العديد من عمليات تجاوز العدد الصحيح عبر التحقق المحسن من صحّة الإدخال.

    CVE-ID

    CVE-2016-1753 ‏: Juwei Lin Trend Micro يعمل مع مبادرة Zero Day Initiative‏ (ZDI) من Trend Micro

  • Kernel

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة

    الوصف: تمت معالجة مشكلة رفض خدمة من خلال التحقق المحسّن من الصحّة.

    CVE-ID

    CVE-2016-1752 ‏: CESG

  • libxml2

    متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 حتى الإصدار 10.11.3 من نظام OS X El Capitan

    التأثير: قد تؤدي معالجة ملف XML متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312 ‏: David Drysdale من Google

    CVE-2015-7499

    CVE-2015-7500 ‏: Kostya Serebryany من Google

    CVE-2015-7942 ‏: Kostya Serebryany من Google

    CVE-2015-8035 ‏: gustavo.grieco

    CVE-2015-8242 ‏: Hugh Davenport

    CVE-2016-1761 ‏: wol0xff يعمل مع مبادرة Zero Day Initiative ‏(ZDI) من Trend Micro

    CVE-2016-1762

  • الرسائل

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يؤدي النقر على رابط JavaScript إلى الكشف عن معلومات المستخدم الحساسة

    الوصف: وجدت مشكلة في معالجة روابط JavaScript. تمّ التصدّي لهذه المشكلة من خلال عمليات التحقق المحسّنة من سياسة أمان المحتوى.

    CVE-ID

    CVE-2016-1764 ‏: Matthew Bryant من فريق Uber Security Team (سابقًا من Bishop Fox)، وJoe DeMesy وShubham Shah من Bishop Fox

  • الرسائل

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: المخترق الذي يُمكنه تجاوز تثبيت الشهادة في Apple، واعتراض اتصال TLS، وحقن الرسائل، وتسجيل رسائل المرفقات المشفّرة، قد يتمكّن كذلك من قراءة المرفقات

    الوصف: تمت معالجة مشكلة ترميز عن طريق رفض الرسائل المتكررة على البرنامج العميل.

    CVE-ID

    CVE-2016-1788 ‏: Christina Garman، وMatthew Green، وGabriel Kaptchuk، وIan Miers، وMichael Rushanan من جامعة جونز هوبكينز

  • برامج تشغيل الرسومات NVIDIA

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1741 :‏ Ian Beer من Google Project Zero

  • OpenSSH

    متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 حتى الإصدار 10.11.3 من نظام OS X El Capitan

    التأثير: قد يؤدي الاتصال بأحد الخوادم إلى تسريب معلومات المستخدم الحساسة، مثل المفاتيح الخاصة للعميل

    الوصف: ميزة التجوال التي كانت مشغّلة افتراضيًا في عميل OpenSSH، تعرضت لتسريب معلومات وتجاوز سعة المخزن المؤقت. تمت معالجة هذه المشكلة بتعطيل ميزة التجوال في العميل.

    CVE-ID

    CVE-2016-0777 ‏: Qualys

    CVE-2016-0778 ‏: Qualys

  • OpenSSH

    متوفر لما يلي: الإصدار 10.9.5 من OS X Mavericks والإصدار 10.10.5 من OS X Yosemite

    التأثير: العديد من الثغرات الأمنية في LibreSSL

    الوصف: وجود العديد من الثغرات الأمنية في إصدارات LibreSSL الأقدم من 2.1.8. تمت معالجتها عبر تحديث LibreSSL إلى الإصدار 2.1.8.

    CVE-ID

    CVE-2015-5333 ‏: Qualys

    CVE-2015-5334 ‏: Qualys

  • OpenSSL

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكن مخترق عن بعد من التسبب في رفض الخدمة

    الوصف: وجدت مشكلة تسرب الذاكرة في إصدارات OpenSSL التي تسبق 0.9.8zh. تمت معالجة هذه المشكلة عن طريق تحديث OpenSSL إلى الإصدار 0.9.8zh.

    CVE-ID

    CVE-2015-3195

  • Python

    متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 حتى الإصدار 10.11.3 من نظام OS X El Capitan

    التأثير: قد تؤدي معالجة ملف png. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت العديد من الثغرات الأمنية في إصدارات libpng الأقدم من 1.6.20. وقد تمت معالجتها عبر تحديث libpng إلى الإصدار 1.6.20.

    CVE-ID

    CVE-2014-9495

    CVE-2015-0973

    CVE-2015-8126 ‏: Adam Mariš

    CVE-2015-8472 ‏: Adam Mariš

  • QuickTime

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد تؤدي معالجة صورة FlashPix Bitmap متطفّلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1767 ‏: Francis Provencher من COSIG

    CVE-2016-1768 ‏: Francis Provencher من COSIG

  • QuickTime

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد تؤدي معالجة مستند Photoshop متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-1769 ‏: Francis Provencher من COSIG

  • التذكيرات

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يؤدي النقر على رابط هاتفي إلى إجراء اتصال دون طلب المستخدم

    الوصف: لن يتمّ الرجوع إلى المستخدم قبل إجراء اتصال. تمت معالجة هذا الأمر عبر الفحص المحسّن للتخويل.

    CVE-ID

    CVE-2016-1770 ‏: Guillaume Ross من Rapid7، وLaurent Chouinard من Laurent.ca

  • Ruby

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتسبب مخترق محلي في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمة برمجية.

    الوصف: وجدت ثغرة استخدام مقطع تالف غير آمن في الإصدارات التي تسبق 2.0.0-p648. تمت معالجة هذه المشكلة عن طريق تحديث إلى الإصدار 2.0.0-p648.

    CVE-ID

    CVE-2015-7551

  • الأمان

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكّن مستخدم محلي من التحقق بحثًا عن وجود ملفات عشوائية

    الوصف: وجدت مشكلة تتعلق بالأذونات في أدوات توقيع التعليمة البرمجية. وقد تمت معالجة هذه المشكلة عبر عمليات التحقق الإضافية من الملكية.

    CVE-ID

    CVE-2016-1773 ‏: Mark Mentovai من Google Inc.

  • الأمان

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد تؤدي معالجة شهادة متطفلة إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة تلف الذاكرة في أداة فك ترميز ASN.1. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2016-1950 ‏: Francis Gabriel من Quarkslab

  • Tcl

    متوفر لما يلي: الإصدار 10.10.5 من نظام OS X Yosemite والإصدارات 10.11 إلى 10.11.3 من نظام OS X El Capitan

    التأثير: قد تؤدي معالجة ملف png. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت العديد من الثغرات الأمنية في إصدارات libpng الأقدم من 1.6.20. وقد تمت معالجتها عبر إزالة libpng.

    CVE-ID

    CVE-2015-8126

  • TrueTypeScaler

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الإدخال.

    CVE-ID

    CVE-2016-1775 ‏: 0x1byte يعمل مع مبادرة Zero Day Initiative ‏(ZDI) من Trend Micro

  • Wi-Fi

    متوفر لما يلي: الإصدار 10.11 حتى الإصدار 10.11.3 من OS X El Capitan

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة التحقق من صحّة الإطار وتلف الذاكرة في ملف ethertype بعينه. تمت معالجة هذه المشكلة عبر التحقق الإضافي من ملف ethertype والمعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2016-0801 : باحث غير معلوم الهوية

    CVE-2016-0802 : باحث غير معلوم الهوية

يشتمل الإصدار 10.11.4 من OS X El Capitan على محتوى أمان Safari 9.1.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: