نبذة عن محتوى أمان Mac OS X 10.5.2 وتحديث الأمان 2008-001

يتناول هذا المستند محتوى أمان Mac OS X 10.5.2 وتحديث الأمان 2008-001، الذي يمكن تنزيله وتثبيته عبر تفضيلات "تحديث البرامج" أو من تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتم استخدام مُعرّفات CVE للإشارة إلى وجود ثغرات أمنية للحصول على مزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."

Mac OS X الإصدار 10.5.2 / تحديث الأمان 2008-001

Directory Services

CVE-ID‏: CVE-2007-0355

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام.

الوصف: يوجد تجاوز سعة المخزن المؤقت لمكدس الذاكرة المؤقتة في البرنامج الخفي لـ Service Location Protocol (SLP)، والذي قد يسمح لمستخدم محلي بتنفيذ تعليمة برمجية عشوائية باستخدام "امتيازات النظام". يعالج هذا التحديث المشكلة من خلال التحقق المحسّن للحدود. تم توضيح هذا في موقع ويب شهر الأخطاء من Apple‏(MOAB-17-01-2007). لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.5 أو الأحدث. نتوجّه بخالص الشكر إلى Kevin Finisterre من Netragard للإبلاغ عن هذه المشكلة.

Foundation

CVE-ID‏: CVE-2008-0035

متوفر لما يلي: Mac OS X الإصدار 10.5 والإصدار 10.5.1، وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: قد يؤدي الوصول إلى عنوان URL متطفّل إلى إنهاء التطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: وجدت مشكلة تلف ذاكرة في معالجة Safari لعناوين URL. من خلال حث المستخدم على الوصول إلى عنوان URL متطفّل، يمكن أن يتسبب مخترق في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال إجراء تحقق إضافي من عناوين URL. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بإصدارات Mac OS X السابقة لإصدار 10.5.

Launch Services

CVE-ID‏: CVE-2008-0038

متوفر لما يلي: Mac OS X الإصدار 10.5 والإصدار 10.5.1، وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: قد يستمر تشغيل تطبيق تمت إزالته من النظام عبر النسخة الاحتياطية من آلة الزمن.

الوصف: "تشغيل الخدمات" عبارة عن واجهة برمجة تطبيقات لفتح التطبيقات أو ملفات المستندات أو عناوين URL الخاصة بها بطريقة مشابهة لفايندر أو "شريط الأيقونات". يتوقع المستخدمون أن إلغاء تثبيت تطبيق من نظامهم سيمنع تشغيله. ومع ذلك، عند إلغاء تثبيت أحد التطبيقات من النظام، قد يسمح "تشغيل الخدمات" بتشغيله إذا كان موجودًا في نسخة احتياطية من آلة الزمن. يعالج هذا التحديث المشكلة من خلال عدم السماح بتشغيل التطبيقات مباشرة من النسخة الاحتياطية من آلة الزمن. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بإصدارات Mac OS X السابقة لإصدار 10.5. نتوجّه بخالص الشكر إلى Steven Fisher من Discovery Software Ltd. وIan Coutier للإبلاغ عن هذه المشكلة.

Mail

CVE-ID‏: CVE-2008-0039

متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11

التأثير: قد يؤدي الوصول إلى عنوان URL في رسالة إلى تنفيذ تعليمة برمجية عشوائية.

الوصف: وُجدت مشكلة تتعلق بالتنفيذ في معالجة البريد لعناوين URL‏:// للملفات، والتي قد تسمح بتشغيل التطبيقات العشوائية دون تحذير عندما ينقر المستخدم على عنوان URL في رسالة. يعالج هذا التحديث المشكلة من خلال عرض موقع الملف في فايندر بدلًا من تشغيله. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.5 أو الأحدث.

NFS

CVE-ID‏: CVE-2008-0040

متوفر لما يلي: Mac OS X الإصدار 10.5 والإصدار 10.5.1، وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: إذا كان النظام يستخدم كعميل أو خادم NFS، فقد يتسبب مخترق عن بُعد في إيقاف غير متوقع للنظام أو تنفيذ تعليمة برمجية عشوائية.

الوصف: وجدت مشكلة تلف ذاكرة في معالجة NFS لسلاسل mbuf. إذا كان النظام يستخدم كعميل أو خادم NFS، فقد يتمكن خادم NFS ضار أو عميل من التسبب في إيقاف غير متوقع للنظام أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لسلاسل mbuf. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بإصدارات Mac OS X السابقة لإصدار 10.5. نتوجّه بخالص الشكر إلى Oleg Drokin من Sun MicroSystems للإبلاغ عن هذه المشكلة.

Open Directory

متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11

التأثير: قد تفشل طلبات مصادقة NTLM دائمًا.

الوصف: يعالج هذا التحديث مشكلة غير متعلقة بالأمان ظهرت في Mac OS X الإصدار 10.4.11. قد تؤدي حالة تعارض في المكون الإضافي لـ Active Directory في Open Directory إلى إنهاء تشغيل winbindd، ما يؤدي إلى فشل مصادقة NTLM. يعالج هذا التحديث المشكلة عن طريق تصحيح حالة التعارض التي يمكن أن تنهي winbindd. لا تؤثر هذه المشكلة إلا على أنظمة Mac OS X الإصدار 10.4.11 التي تم تكوينها للاستخدام مع Active Directory.

Parental Controls

CVE-ID‏: CVE-2008-0041

متوفر لما يلي: Mac OS X الإصدار 10.5 والإصدار 10.5.1، وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: يؤدي طلب إلغاء حظر موقع ويب إلى الكشف عن المعلومات.

الوصف: عند تعيينه لإدارة محتوى الويب، سيتصل "الإشراف العائلي" بدون قصد بـ www.apple.com عند إلغاء حظر موقع ويب. يتيح ذلك للمستخدم عن بُعد اكتشاف الأجهزة التي تعمل بنظام "الإشراف العائلي". يعالج هذا التحديث المشكلة عن طريق إزالة حركة مرور الشبكة الصادرة عند إلغاء حظر موقع ويب. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بإصدارات Mac OS X السابقة لإصدار 10.5. نتوجّه بخالص الشكر إلى Jesse Pearson للإبلاغ عن هذه المشكلة.

Samba

CVE-ID‏: CVE-2007-6015

متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5 والإصدار 10.5.1 وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: قد يتسبب مهاجم عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية.

الوصف: قد يحدث تجاوز سعة المخزن المؤقت لمكدس الذاكرة المؤقتة في Samba عند معالجة بعض طلبات خدمة اسم NetBIOS. إذا تم تكوين نظام بشكل صريح للسماح بـ "عمليات تسجيل الدخول إلى النطاق"، فقد يحدث إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية عند معالجة الطلب. كما تتأثر الأنظمة التي تعمل بـ Mac OS X Server التي تم تكوينها كوحدات تحكم في النطاق. يعالج هذا التحديث المشكلة من خلال تطبيق تصحيح Samba. يتوفر المزيد من المعلومات عبر موقع ويب Samba على http://www.samba.org/samba/history/security.html نتوجّه بخالص الشكر إلى Alin Rad Pop من Secunia Research للإبلاغ عن هذه المشكلة.

Terminal

CVE-ID‏: CVE-2008-0042

متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5 والإصدار 10.5.1 وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: قد يؤدي عرض صفحة ويب متطفلة إلى تنفيذ تعليمة برمجية عشوائية.

الوصف: وُجدت مشكلة تتعلق بالتحقق من صحة الإدخال في معالجة مخططات عناوين URL التي يتعامل معها Terminal.app. من خلال حث المستخدم على زيارة صفحة ويب متطفلة، يمكن أن يتسبب مخترق في تشغيل تطبيق باستخدام وسيطات سطر الأوامر التي يتم التحكم فيها، ما قد يؤدي إلى تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسّن من عناوين URL. نتوجّه بخالص الشكر إلى Olli Leppanen من Digital Film Finland وBrian Mastenbrook للإبلاغ عن هذه المشكلة.

X11

CVE-ID‏: CVE-2007-4568

متوفر لما يلي: Mac OS X الإصدار 10.5 والإصدار 10.5.1، وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: يوجد العديد من نقاط الضعف في X Font Server ‏(XFS) في X11 الإصدار 1.0.4.

الوصف: يوجد العديد من نقاط الضعف في X Font Server ‏(XFS) في X11، وقد يؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق التحديث إلى الإصدار 1.0.5. يتوفر مزيد من المعلومات عبر موقع الويب X.Org على http://www.x.org/wiki/Development/Security.

X11

CVE-ID‏: CVE-2008-0037

متوفر لما يلي: Mac OS X الإصدار 10.5 والإصدار 10.5.1، وMac OS X Server الإصدار 10.5 والإصدار 10.5.1

التأثير: لا يؤثر تغيير الإعدادات في "لوحة تفضيلات الأمان" بأي شكل.

الوصف: لا يقرأ خادم X11 بشكل صحيح تفضيل "السماح بالاتصالات من عميل الشبكة"، الأمر الذي قد يتسبب في السماح لخادم X11 بإجراء اتصالات من عملاء الشبكة، حتى عند إيقاف تشغيل التفضيل. يعالج هذا التحديث المشكلة من خلال ضمان قراءة خادم X11 لتفضيلاته بشكل صحيح. لا تؤثر هذه المشكلة على الأنظمة التي تعمل بإصدارات Mac OS X السابقة لإصدار 10.5.