نبذة عن محتوى أمان الإصدار 1.0.1 من تحديث iPhone
يتناول هذا المستند محتوى أمان الإصدار 1.0.1 من تحديث iPhone الذي يمكن تنزيله وتثبيته من خلال iTunes، بالطريقة الموضحة أدناه.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع "أمان منتجات Apple".
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرّفات CVE للإشارة إلى نقاط الضعف لمزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
الإصدار 1.0.1 من تحديث iPhone
Safari
CVE-ID: CVE-2007-2400
متوفر لما يلي: iPhone v1.0
التأثير: قد تؤدي زيارة مواقع ويب ضار إلى السماح بالبرمجة النصية عبر المواقع.
الوصف: يعمل نموذج أمان سفاري على منع JavaScript في صفحات الويب عن بعد من تعديل الصفحات خارج نطاقها الإلكتروني. وقد تؤدي حالة تعارض في صفحة يتم تحديثها مع إعادة توجيه HTTP إلى تمكين JavaScript من إحدى الصفحات بتعديل صفحة تمت إعادة التوجيه إليها. وقد يسمح هذا لملفات تعريف الارتباط والصفحات بأن تكون مقروءة أو أن يتم تعديلها بشكل عشوائي. يعالج هذا التحديث المشكلة من خلال تصحيح التحكم في الوصول إلى خصائص النافذة. ويسعدنا أن نتوجّه بخالص الشكر إلى Lawrence Lai وStan Switzer وEd Rowe من فريق Adobe Systems, Inc. للإبلاغ عن هذه المشكلة.
Safari
CVE-ID: CVE-2007-3944
متوفر لما يلي: iPhone v1.0
التأثير: قد يؤدي عرض صفحة ويب متطفلة إلى تنفيذ تعليمات برمجية عشوائية.
الوصف: توجد مشكلة تجاوز سعة مخزن الذاكرة المكدّسة في مكتبة التعبيرات العادية، المتوافقة مع Perl (PCRE)، التي يستخدمها محرك JavaScript في سفاري. وبجذب المستخدم إلى زيارة صفحة ويب متطفلة، قد يتسبب مخترق في حدوث المشكلة، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء تحقق إضافي من صحة تعبيرات JavaScript العادية. يسعدنا أن نتوجّه بخالص الشكر إلى Charlie Miller وJake Honoroff من فريق Independent Security Evaluators للإبلاغ عن هذه المشكلة.
WebCore
CVE-ID: CVE-2007-2401
متوفر لما يلي: iPhone v1.0
التأثير: قد تؤدي زيارة مواقع الويب الضارة إلى السماح بالطلبات عبر المواقع.
الوصف: توجد مشكلة إدخال HTTP في XMLHttpRequest عند تعيين التسلسل للعناوين في طلب HTTP. قد يتسبب مخترق في حدوث مشكلة برمجة نصية عبر المواقع، وذلك عبر جذب المستخدم إلى زيارة صفحة ويب متطفلة. يعالج هذا التحديث المشكلة عن طريق إجراء تحقق إضافي من صحة معلمات العنوان. ويسعدنا أن نتوجّه بخالص الشكر إلى Richard Moore من فريق Westpoint Ltd. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2007-3742
متوفر لما يلي: iPhone v1.0
التأثير: يمكن استخدام الأحرف المتشابهة في عنوان URL لإخفاء موقع ويب.
الوصف: يمكن استخدام دعم اسم نطاق الإنترنت الدولي (IDN) وخطوط Unicode المضمنة في سفاري لإنشاء عنوان URL يحتوي على أحرف متشابهة. وقد يؤدي استخدامها في موقع ويب ضار إلى توجيه المستخدم إلى موقع مخادع يبدو بصريًا أنه نطاق ويب رسمي. يعالج هذا التحديث المشكلة من خلال التحقق المحسن من صلاحية اسم نطاق الويب. ويسعدنا أن نتوجّه بخالص الشكر إلى Tomohito Yoshino من Business Architects Inc. للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2007-2399
متوفر لما يلي: iPhone v1.0
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية.
الوصف: قد يؤدي تحويل نوع غير صالح عند عرض مجموعات الإطارات إلى تلف الذاكرة. وقد تؤدي زيارة صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يسعدنا أن نتوجّه بخالص الشكر إلى Rhys Kidd من فريق Westnet للإبلاغ عن هذه المشكلة.
ملاحظة حول التثبيت
لا يتوفر هذا التحديث إلا على iTunes، ولا يظهر في تطبيق "تحديث البرنامج" على الكمبيوتر أو في صفحة "التنزيلات" على موقع "دعم Apple". تأكد من الاتصال بالإنترنت وتثبيت أحدث إصدار من iTunes من الموقع (www.apple.com/itunes).
يتحقق iTunes تلقائيًا من سيرفر تحديثات Apple حسب جدولته الأسبوعية. ويقوم بتنزيل التحديث عند اكتشافه. عند توصيل iPhone، سوف يعرض iTunes خيار تثبيت التحديث على المستخدم. نوصي بالتحديث فورًا إن أمكن. يؤدي اختيار "عدم التثبيت" إلى عرض هذا الخيار في المرة التالية التي تقوم فيها بتوصيل iPhone. قد تستغرق عملية التحديث التلقائي ما يصل إلى أسبوع وفقًا لليوم الذي يتحقق فيه iTunes من التحديثات.
يمكنك الحصول على التحديث يدويًا من خلال زر "البحث عن تحديثات" أو اختيار القائمة في iTunes. وبعد إجراء ذلك، يمكن تشغيل التحديث عند توصيل iPhone بالكمبيوتر.
للتحقق من حصول iPhone على التحديث:
انتقل إلى "الإعدادات" على iPhone.
انقر على "عام".
انقر على "حول". سيتغير الإصدار بعد تنزيل هذا التحديث إلى "1.0.1 (1C25)".