نبذة حول محتوى أمان iOS 13.4 وiPadOS 13.4

يتناول هذا المستند محتوى أمان iOS 13.4 وiPadOS 13.4.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

iOS 13.4 وiPadOS 13.4

تاريخ الإصدار: 24 مارس 2020

الحسابات

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-9772:‏ Allison Husain من UC Berkeley

تاريخ إضافة الإدخال: 21 مايو 2020

ActionKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن أحد التطبيقات من استخدام عميل SSH مُقدَّم من إطارات عمل خاصة

الوصف: تمت معالجة هذه المشكلة عبر استحقاق جديد.

CVE-2020-3917:‏‎Steven Troughton-Smith (@stroughtonsmith)‎

AppleMobileFileIntegrity

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن أحد التطبيقات من استخدام استحقاقات عشوائية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2020-3883:‏ ‎Linus Henze (pinauten.de)‎

Bluetooth

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من اعتراض حركة مرور Bluetooth

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2020-9770:‏ Jianliang Wu من PurSec Lab التابع لـ Purdue University،‏ Xinwen Fu وYue Zhang من University of Central Florida

CoreFoundation

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: وجدت مشكلة تتعلق بالأذونات. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.

CVE-2020-3913:‏ Timo Christ من ‎Avira Operations GmbH & Co. KG‎

الأيقونات

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يؤدي إعداد أيقونة تطبيق جديدة إلى كشف صورة دون الحاجة إلى إذن للوصول إلى الصور

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.

CVE-2020-3916:‏ ‎Vitaliy Alekseev (@villy21)‎

معالجة الصور

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2020-9768:‏ ‎Mohamed Ghannam (@_simo36)‎

IOHIDFamily

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-3919:‏ Alex Plaskett من F-Secure Consulting

تاريخ تحديث الإدخال: 21 مايو 2020

Kernel

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-3914:‏ ‎pattern-f (@pattern_F_)‎ من WaCai

Kernel

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2020-9785:‏ Proteas من فريق Qihoo 360 Nirvan Team

libxml2

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: مشاكل متعددة في libxml2

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحجم.

CVE-2020-3910:‏ LGTM.com

libxml2

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: مشاكل متعددة في libxml2

الوصف: تمت معالجة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحدود.

CVE-2020-3909:‏ LGTM.com

CVE-2020-3911:‏ وُجدت بواسطة OSS-Fuzz

البريد

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن مستخدم محلي من عرض المحتوى المحذوف في مبدّل التطبيق

الوصف: تمت معالجة المشكلة عن طريق مسح معاينات التطبيق عند حذف المحتوى.

CVE-2020-9780: باحث غير معلوم الهوية، Dimitris Chaintinis

مرفقات البريد

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد لا تتم مشاركة مقاطع الفيديو المقصوصة بشكل صحيح عبر تطبيق "البريد"

الوصف: وجدت مشكلة في اختيار ملف الفيديو من خلال تطبيق "البريد". وقد تمت معالجة المشكلة عن طريق اختيار أحدث إصدار من الفيديو.

CVE-2020-9777

الرسائل

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن شخص لديه إمكانية الوصول الفعلي إلى جهاز iOS مقفول من الرد على الرسائل حتى عند تعطيل الردود

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2020-3891:‏ Peter Scott

إنشاء رسائل

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يستمر اقتراح مجموعات الرسائل المحذوفة في شكل إكمال تلقائي

الوصف: تمت معالجة المشكلة من خلال الحذف المحسّن.

CVE-2020-3890: باحث غير معلوم الهوية

Safari

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: يمكن حفظ نشاط التصفح الخاص للمستخدم دون قصد في "مدة استخدام الجهاز"

الوصف: وجدت مشكلة في معالجة علامات التبويب التي تعرض الصورة في فيديو الصور. وقد تم تصحيح هذه المشكلة من خلال المعالجة المحسَّنة للحالة.

CVE-2020-9775:‏ ‎Andrian (@retroplasma)‎ وMarat Turaev و‎Marek Wawro (futurefinance.com)‎ وSambor Wawro من STO64 School Krakow Poland

تاريخ تحديث الإدخال: 1 مايو 2020

Safari

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يمنح أحد المستخدمين أذونات موقع الويب إلى موقع دون قصد

الوصف: تمت معالجة هذه المشكلة عن طريق مسح مطالبات أذونات موقع الويب بعد التصفح.

CVE-2020-9781:‏ ‎Nikhil Mittal (@c0d3G33k)‎ من ‎Payatu Labs (payatu.com)‎

وضع الحماية

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.

CVE-2020-3918: باحث غير معلوم الهوية وAugusto Alvarez من Outcourse Limited

تاريخ إضافة الإدخال: 1 مايو 2020، تاريخ تحديث الإدخال: 21 مايو 2020

تطبيق الويب

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تتداخل صفحة متطفلة مع سياقات الويب الأخرى

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-3888:‏ Darren Jones من Dappological Ltd.‎

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد لا تظهر بعض مواقع الويب في "تفضيلات" في Safari

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-9787:‏ ‎Ryan Pickren (ryanpickren.com)‎

تاريخ إضافة الإدخال: 1 مايو 2020

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2020-3894:‏ Sergei Glazunov من Google Project Zero

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-3899:‏ وُجدت بواسطة OSS-Fuzz

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى التعرض لهجوم البرمجة النصية بين المواقع

الوصف: تمت معالجة مشكلة متعلقة بالتحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال.

CVE-2020-3902:‏ ‎Yiğit Can YILMAZ (@yilmazcanyigit)‎

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-3895:‏ grigoritchy

CVE-2020-3900:‏ Dongzhuo Zhao بالاشتراك مع ADLab من Venustech

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-3901:‏ ‎Benjamin Randazzo (@____benjamin)‎

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتم ربط أصل التنزيل بشكل غير صحيح

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-3887:‏ ‎Ryan Pickren (ryanpickren.com)‎

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2020-9783:‏ Apple

WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2020-3897:‏ ‎Brendan Draper (@6r3nd4n)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تحميل صفحة WebKit

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع

التأثير: قد تتم معالجة عنوان URL خاص بالملف بشكل غير صحيح

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2020-3885:‏ ‎Ryan Pickren (ryanpickren.com)‎

تقدير آخر

4FontParser

يسعدنا أن نتقدم بخالص الشكر إلى Matthew Denton من Google Chrome على تقديم المساعدة لنا.

Kernel

يسعدنا أن نتقدم بخالص الشكر إلى Siguza على تقديم المساعدة لنا.

LinkPresentation

يسعدنا أن نتقدم بخالص الشكر إلى Travis على تقديم المساعدة لنا.

ملاحظات

يسعدنا أن نتقدم بخالص الشكر إلى Mike DiLoreto على تقديم المساعدة لنا.

rapportd

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Alexander Heinrich (@Sn0wfreeze)‎ من Technische Universität Darmstadt على المساعدة.

قارئ Safari

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Nikhil Mittal (@c0d3G33k)‎ من ‎Payatu Labs (payatu.com)‎ على مساعدته.

Sidecar

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Rick Backley (@rback_sec)‎ على المساعدة.

SiriKit

يسعدنا أن نتوجه بخالص الشكر إلى Ioan Florescu وKi Ha Nam على تقديم المساعدة لنا.

WebKit

يسعدنا أن نتوجه بخالص الشكر إلى Emilio Cobos Álvarez من Mozilla وSamuel Groß من Google Project Zero، ‏hearmen على المساعدة.

تاريخ تحديث الإدخال: 4 أبريل 2020

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: