نبذة عن محتوى أمان الإصدار 10.10.3 من OS X Yosemite وتحديث الأمان 2015-004.
يتناول هذا المستند محتوى أمان الإصدار 10.10.3 من OS X Yosemite وتحديث الأمان 2015-004.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع "أمان منتجات Apple".
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple".
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple".
الإصدار 10.10.3 من OS X Yosemite وتحديث الأمان 2015-004
Admin Framework
متوفر لما يلي: الإصدارات 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تتمكن إحدى العمليات من الحصول على صلاحيات المسؤول دون المصادقة بشكل صحيح
الوصف: وُجدت مشكلة عند التحقق من امتيازات XPC. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسن من الامتيازات.
CVE-ID
CVE-2015-1130: Emil Kvarnhammar من فريق TrueSec
apache
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: وجود ثغرات أمنية كثيرة في Apache
الوصف: وُجدت ثغرات أمنية كثيرة في إصدارات Apache الأقدم من 2.4.10 و2.2.29، من بينها ثغرات قد تسمح لمخترق عن بُعد بتنفيذ تعليمات برمجية عشوائية. وقد تمت معالجة هذه المشاكل عن طريق تحديث Apache إلى الإصدار 2.4.10 و2.2.29
CVE-ID
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وُجدت مشاكل متعددة في التحقق من صحة الإدخال في الخطوط. تمت معالجة هذه المشاكل من خلال التحقق المحسن من صحة الإدخال.
CVE-ID
CVE-2015-1131: Ian Beer من فريق Google Project Zero
CVE-2015-1132: Ian Beer من فريق Google Project Zero
CVE-2015-1133: Ian Beer من فريق Google Project Zero
CVE-2015-1134: Ian Beer من فريق Google Project Zero
CVE-2015-1135: Ian Beer من فريق Google Project Zero
Certificate Trust Policy
التأثير: تحديث سياسة الوثوق في الشهادات
الوصف: تم تحديث سياسة الوثوق في الشهادات. عرض القائمة الكاملة للشهادات.
CFNetwork HTTPProtocol
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتم إرسال ملفات تعريف الارتباط التابعة لأحد الأصول إلى أصل آخر
الوصف: وُجدت مشكلة في ملف تعريف ارتباط عبر المجالات أثناء معالجة إعادة التوجيه. يمكن تمرير ملفات تعريف الارتباط التي تم تعيينها مع استجابة إعادة التوجيه إلى هدف إعادة التوجيه الذي ينتمي إلى أصل آخر. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لعمليات إعادة التوجيه.
CVE-ID
CVE-2015-1089: Niklas Keller (http://kelunik.com)
CFNetwork Session
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتم إرسال بيانات اعتماد المصادقة إلى سيرفر على أصل آخر
الوصف: وُجدت مشكلة في عناوين طلب HTTP عبر النطاق أثناء معالجة إعادة التوجيه. يمكن تمرير عناوين طلب HTTP المرسلة مع استجابة إعادة التوجيه إلى أصل آخر. وقد تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لعمليات إعادة التوجيه.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وُجدت مشكلة في التحقق من صحة الإدخال في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من عناوين URL.
CVE-ID
CVE-2015-1088: Luigi Galli
CoreAnimation
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وُجدت مشكلة تتعلق بالاستخدام بعد التحرير في CoreAnimation. وقد تمت معالجة هذه المشكلة عبر الإدارة المحسّنة لتقنية Mutex.
CVE-ID
CVE-2015-1136: Apple
CUPS
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر
الوصف: وُجدت مشكلة تتعلق بالاستخدام بعد التحرير في كيفية تعامل CUPS مع رسائل IPP. وقد تمت معالجة هذه المشكلة من خلال حساب المرجع المحسّن.
CVE-ID
CVE-2015-1158: Neel Mehta من Google
CUPS
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: في بعض عمليات التكوين، قد يتمكّن مخترق بعيد من إرسال مهام طباعة عشوائية
الوصف: وُجدت مشكلة في البرمجة النصية بين المواقع في واجهة الويب الخاصة بنظام CUPS. وقد تمت معالجة هذه المشكلة من خلال التخطي المحسّن للمخرجات.
CVE-ID
CVE-2015-1159: Neel Mehta من Google
FontParser
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي معالجة ملف خط متطفل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات الخطوط. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Graphics Driver
متوفر لما يلي: الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجدت مشكلة حذف مؤشر NULL أثناء معالجة برنامج تشغيل رسومات غرافيك NVIDIA لأنواع معينة من عملاء مستخدم IOService. وقد تمت معالجة هذه المشكلة من خلال التحقق الإضافي من السياق.
CVE-ID
CVE-2015-1137: Frank Graziano وJohn Villamil من فريق Yahoo Pentest Team
Hypervisor
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن تطبيق محلي من التسبب في رفض للخدمة
الوصف: توجد مشكلة في التحقق من صحة الإدخال في إطار عمل Hypervisor. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-1138: Izik Eidus وAlex Fishman
ImageIO
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي معالجة ملف .sgi متطفل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت مشكلة تلف الذاكرة أثناء معالجة ملفات .sgi وقد تمت معالجة هذه المشكلة من خلال الفحص المحسّن للحدود.
CVE-ID
CVE-2015-1139: Apple
IOHIDFamily
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن جهاز HID ضار من التسبب في تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت مشكلة تلف الذاكرة في واجهة برمجة التطبيقات IOHIDFamily. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-1095: Andrew Church
IOHIDFamily
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: توجد مشكلة تتعلق بتجاوز سعة ذاكرة التخزين المؤقت في IOHIDFamily. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-1140: lokihardt@ASRT بالاشتراك مع مبادرة Zero Day Initiative من HP، وLuca Todesco وVitaliy Toropov بالاشتراك مع مبادرة Zero Day Initiative من HP (ZDI)
IOHIDFamily
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن مستخدم محلي من تحديد تخطيط ذاكرة kernel
الوصف: وُجدت مشكلة في IOHIDFamily أدت إلى الكشف عن محتوى ذاكرة kernel. وقد تمت معالجة هذه المشكلة من خلال الفحص المحسّن للحدود.
CVE-ID
CVE-2015-1096: Ilja van Sprundel من IOActive
IOHIDFamily
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks
التأثير: قد يتمكّن تطبيق ضار من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: توجد مشكلة تجاوز سعة مخزن الذاكرة المكدّسة أثناء معالجة IOHIDFamily لخصائص تعيين المفاتيح. وقد تمت معالجة هذه المشكلة من خلال الفحص المحسّن للحدود.
CVE-ID
CVE-2014-4404: Ian Beer من Google Project Zero
IOHIDFamily
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks
التأثير: قد يتمكّن تطبيق ضار من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجدت مشكلة حذف مؤشر NULL أثناء معالجة IOHIDFamily لخصائص تعيين المفاتيح. تمت معالجة هذه المشكلة من خلال التحقق المحسّن لخصائص تعيين المفتاح IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer من Google Project Zero
IOHIDFamily
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks
التأثير: قد يتمكّن مستخدم من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وُجدت مشكلة الكتابة غير المسموح بها في برنامج تشغيل IOHIDFamily. وقد تمت معالجة المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2014-4380: cunzhang من Adlab of Venustech
Kernel
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن مستخدم محلي من التسبب في إيقاف تشغيل النظام بشكل غير متوقع
الوصف: وجدت مشكلة في معالجة عمليات الذاكرة الظاهرية داخل kernel. وقد تم إصلاح المشكلة من خلال المعالجة المحسنة للدالة mach_vm_read.
CVE-ID
CVE-2015-1141: Ole Andre Vadla Ravnas من www.frida.re
Kernel
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من التسبب في رفض للخدمة
الوصف: توجد حالة تعارض في مكالمة نظام setreuid لأنوية kernel. وقد تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.
CVE-ID
CVE-2015-1099: Mark Mentovai من Google Inc..
Kernel
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يقوم تطبيق محلي بتصعيد الامتيازات باستخدام خدمة مخترقة مخصصة للتشغيل بامتيازات منخفضة
الوصف: فشلت مكالمات النظام setreuid وsetregid في إسقاط الامتيازات بشكل دائم. وقد تمت معالجة هذه المشكلة عن طريق إسقاط الامتيازات بشكل صحيح.
CVE-ID
CVE-2015-1117: Mark Mentovai من Google Inc..
Kernel
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مخترق لديه صلاحيات على الشبكة من إعادة توجيه حركة مرور المستخدم إلى مضيفين عشوائيين
الوصف: وجدت مشكلة تمكين عمليات إعادة توجيه ICMP بشكل افتراضي على OS X. وقد تمت معالجة هذه المشكلة عن طريق تعطيل عمليات إعادة توجيه ICMP.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مخترق لديه صلاحيات على الشبكة من التسبب في رفض الخدمة
الوصف: وجدت مشكلة عدم تناسق في الحالة أثناء معالجة عناوين TCP. وقد تمت معالجة هذه المشكلة من خلال المعالجة المحسَّنة للحالة.
CVE-ID
CVE-2015-1102: Andrey Khudyakov وMaxim Zhuravlev من Kaspersky Lab
Kernel
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن مستخدم محلي من التسبب في إيقاف تشغيل النظام بشكل غير متوقع أو قراءة ذاكرة kernel
الوصف: مشكلة في الوصول إلى ذاكرة متجاوزة للحدود في kernel. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-1100: Maxime Villard من m00nbsd
Kernel
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن مخترق عن بعد من تجاوز فلاتر الشبكة
الوصف: سيتعامل النظام مع بعض حزم IPv6 من واجهات الشبكة البعيدة كحزم محلية. وقد تمت معالجة المشكلة من خلال رفض هذه الحزم.
CVE-ID
CVE-2015-1104: Stephen Roettger من فريق Google Security Team
Kernel
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات Kernel
الوصف: وُجدت مشكلة تلف الذاكرة في kernel. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-1101: lokihardt@ASRT بالاشتراك مع مبادرة Zero Day Initiative من HP
Kernel
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مخترق عن بعد من التسبب في رفض الخدمة
الوصف: وجدت مشكلة عدم تناسق الحالة أثناء معالجة بيانات TCP خارج النطاق. وقد تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.
CVE-ID
CVE-2015-1105: Kenton Varda من Sandstorm.io
LaunchServices
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكن مستخدم من التسبب في تعطل "فايندر"
الوصف: وجدت مشكلة في التحقق من صحة الإدخال أثناء معالجة LaunchServices لبيانات ترجمة التطبيق. وقد تمت معالجة هذه المشكلة عبر التحقق المحسّن من بيانات الترجمة.
CVE-ID
CVE-2015-1142
LaunchServices
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وُجدت مشكلة متعلقة بخلط الأنواع أثناء معالجة LaunchServices للسلاسل المترجمة. وقد تمت معالجة هذه المشكلة من خلال التحقق الإضافي من الحدود.
CVE-ID
CVE-2015-1143: Apple
libnetcore
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي معالجة ملف تعريف تكوين متطفل إلى إنهاء غير متوقع للتطبيق
الوصف: توجد مشكلة تلف في الذاكرة أثناء معالجة ملفات تعريف التكوين. وقد تمت معالجة هذه المشكلة من خلال الفحص المحسّن للحدود.
CVE-ID
CVE-2015-1118: Zhaofeng Chen وHui Xue وYulong Zhang وTao Wei من FireEye, Inc.
ntp
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يقوم مخترق عن بعد باختراق شديد لمفاتيح مصادقة ntpd
الوصف: أنشأت الدالة config_auth المضمنة في ntpd مفتاحًا ضعيفًا بسبب عدم تكوين مفتاح للمصادقة. وقد تمت معالجة هذه المشكلة عن طريق الإنشاء المحسّن للمفتاح.
CVE-ID
CVE-2014-9298
OpenLDAP
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن عميل بعيد لم تتم مصادقته من التسبب في رفض الخدمة
الوصف: وُجدت مشاكل متعددة في التحقق من صحة الإدخال في OpenLDAP. وقد تمت معالجة هذه المشاكل من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: وجود ثغرات أمنية كثيرة في OpenSSL
الوصف: وُجدت ثغرات أمنية كثيرة في OpenSSL 0.9.8zc، من بينها ثغرات قد تسمح للمخترق باعتراض الاتصالات بسيرفر يدعم أصفار تشفير من فئة التصدير. وقد تمت معالجة هذه المشاكل عن طريق تحديث OpenSSL إلى الإصدار 0.9.8zd.
CVE-ID
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory Client
متوفر لما يلي: الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتم إرسال كلمة سر غير مشفرة عبر الشبكة عند استخدام Open Directory من OS X Server
الوصف: إذا كان عميل Open Directory مرتبطًا بـ OS X Server ولكنه لم يقم بتثبيت شهادات OS X Server، ثم قام مستخدم ذلك العميل بتغيير كلمة السر، فسيتم إرسال طلب تغيير كلمة السر عبر الشبكة دون تشفير. وقد تمت معالجة هذه المشكلة من خلال مطالبة العميل بالتشفير لهذه الحالة.
CVE-ID
CVE-2015-1147: Apple
PHP
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: وجود ثغرات أمنية كثيرة في PHP
الوصف: وُجدت ثغرات أمنية كثيرة في إصدارات PHP الأقدم من 5.3.29 و5.4.38 و5.5.20، من بينها ثغرات أمنية قد تسمح بتنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشاكل من خلال تحديث PHP إلى الإصدارات 5.3.29، و5.4.38 و5.5.20.
CVE-ID
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يؤدي فتح ملف iWork متطفل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وُجدت مشكلة تلف الذاكرة أثناء معالجة ملفات iWork. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-1098: Christopher Hickstein
SceneKit
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion
التأثير: قد يؤدي عرض ملف Collada متطفل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: توجد مشكلة تجاوز سعة مخزن الذاكرة المكدّسة أثناء معالجة SceneKit لملفات Collada. ومن المحتمل أن يتسبب عرض ملف Colada متطفل في تنفيذ تعليمة برمجية عشوائية. وقد تمت معالجة هذه المشكلة عبر التحقق المحسّن من استرجاع القيمة.
CVE-ID
CVE-2014-8830: Jose Duart من فريق Google Security Team
Screen Sharing
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتم تسجيل كلمة سر المستخدم في ملف محلي
الوصف: في بعض الحالات، قد يُسجِّل المكون Screen Sharing كلمة سر المستخدم التي لا يمكن للمستخدمين الآخرين على النظام قراءتها. وقد تمت معالجة هذه المشكلة عن طريق إزالة تسجيل بيانات الاعتماد.
CVE-ID
CVE-2015-1148: Apple
Secure Transport
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي معالجة شهادة X.509 متطفلة إلى إنهاء غير متوقع للتطبيق.
الوصف: وجدت مشكلة حذف مؤشر NULL أثناء معالجة شهادات X.509. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-1160: Elisha Eshed وRoy Iarchy وYair Amit من فريق Skycure Security Research
Security - Code Signing
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد لا يتم منع تشغيل التطبيقات التي تم العبث بها
الوصف: قد يتم تشغيل التطبيقات التي تحتوي على حزم معدة خصيصًا بدون توقيع صالح تمامًا. وقد تمت معالجة هذه المشكلة عن طريق إضافة عمليات تحقق إضافية.
CVE-ID
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
متوفر لما يلي: الإصدار 10.8.5 من OS X Mountain Lion، الإصدار 10.9.5 من OS X Mavericks، الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: توجد مشكلة تجاوز سعة مخزن الذاكرة المكدّسة أثناء معالجة معرفات النوع الموحد. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-1144: Apple
WebKit
متوفر لما يلي: الإصدار 10.10 إلى 10.10.2 من OS X Yosemite
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وُجدت مشكلة تلف الذاكرة في WebKit. تمت معالجة هذه المشاكل عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-1069: lokihardt@ASRT بالاشتراك مع مبادرة Zero Day Initiative من HP
يعالج تحديث الأمان 2015-004 (المتوفر للإصدار 10.8.5 من OS X Mountain Lion، والإصدار 10.9.5 من OS X Mavericks) أيضًا مشكلة ناجمة عن إصلاح CVE-2015-1067 في تحديث الأمان 2015-002. منعت هذه المشكلة عملاء أي إصدار من تطبيق "أحداث Apple البعيدة" من الاتصال بسيرفر "أحداث Apple البعيدة". في التكوينات الأساسية، لا يتم تمكين "أحداث Apple البعيدة".
يتضمن الإصدار 10.10.3 من OS X Yosemite محتوى أمان الإصدار 8.0.5 من تطبيق "سفاري".
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.