نبذة حول تحديث الأمان 2008-007
يصف هذا المستند تحديث الأمان 2008-007، الذي يمكن تنزيله وتثبيته من خلال تفضيلات تحديث البرنامج أو من تنزيلات Apple.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple".
تحديث الأمان 2008-007
Apache
CVE-ID: CVE-2007-6420، CVE-2008-1678، CVE-2008-2364
متوفر لما يلي: Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: العديد من الثغرات الأمنية في Apache 2.2.8
الوصف: يتم تحديث Apache إلى الإصدار 2.2.9 لمعالجة العديد من الثغرات الأمنية، التي قد يؤدي أشدها خطورة إلى تزييف طلب بين المواقع. لم يتم تضمين الإصدار 2 من Apache مع أنظمة Mac OS X Client قبل الإصدار 10.5. وتم تضمين الإصدار 2 من Apache مع أنظمة الإصدار 10.4.x من Mac OS X Server؛ لكنه لا يكون نشطًا افتراضيًا. يتوفر مزيد من المعلومات عبر موقع الويب الخاص بـ Apache على http://httpd.apache.org/
Certificates
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: تم تحديث الشهادات الجذرية
الوصف: تمت إضافة عدة شهادات موثوقة إلى قائمة جذور النظام. تم تحديث العديد من الشهادات الموجودة إلى أحدث إصدار. يمكن الاطلاع على القائمة الكاملة لجذور النظام المعتمدة عبر تطبيق "الوصول إلى سلسلة المفاتيح".
ClamAV
CVE-ID: CVE-2008-1389، CVE-2008-3912، CVE-2008-3913، CVE-2008-3914
متوفر لما يلي: Mac OS X Server الإصدار 10.4.11، Mac OS X Server الإصدار10.5.5
التأثير: العديد من الثغرات الأمنية في ClamAV 0.93.3
الوصف: توجد العديد من الثغرات الأمنية في ClamAV 0.93.3، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلات عن طريق التحديث إلى ClamAV 0.94. لم يتم تضمين ClamAV في أنظمة Mac OS X Client. مزيد من المعلومات متاحة عبر موقع ClamAV على http://www.clamav.net/
ColorSync
CVE-ID: CVE-2008-3642
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يؤدي عرض صورة متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: يوجد تجاوز لسعة المخزن المؤقت أثناء معالجة ملف تعريف ICC المضمّن. قد يؤدي فتح صورة متطفلة باستخدام ملف تعريف ICC المضمّن إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من صحة ملفات تعريف ICC في الصور. يعود الفضل إلى: Apple.
CUPS
CVE-ID: CVE-2008-3641
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يتمكن مهاجم عن بُعد من التسبب في تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات مستخدم 'lp
الوصف: توجد مشكلة في التحقق من النطاق في عامل فلترة Hewlett-Packard Graphics Language (HPGL)، مما قد يؤدي إلى الكتابة فوق الذاكرة العشوائية باستخدام البيانات التي يتم التحكم فيها. إذا تم تمكين "مشاركة الطابعة"، فقد يتمكن مهاجم عن بُعد من التسبب في تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات مستخدم 'lp'. إذا لم يتم تمكين "مشاركة الطابعة"، فقد يتمكن مستخدم محلي من الحصول على امتيازات معزّزة. يعالج هذا التحديث المشكلة من خلال إجراء التحقق اللازم من الحدود. يعود الفضل إلى regenrecht بالاشتراك مع مبادرة Zero Day Initiative التابعة لـ TippingPoint للإبلاغ عن هذه المشكلة.
Finder
CVE-ID: CVE-2008-3643
متوفر لما يلي: Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يؤدي ملف على سطح المكتب إلى رفض الخدمة
الوصف: توجد مشكلة في استرداد الخطأ في فايندر. سيؤدي ملف متطفل موجود على سطح المكتب، ويتسبب في إنهاء غير متوقع لتطبيق "فايندر" عند إنشاء أيقونته، إلى إنهاء "فايندر" وإعادة تشغيله باستمرار. إلى أن تتم إزالة الملف، لا يمكن الوصول إلى حساب المستخدم عبر واجهة مستخدم "فايندر". يعالج هذا التحديث المشكلة عن طريق إنشاء الأيقونات في عملية منفصلة. لا تؤثر هذه المشكلة على الأنظمة السابقة لنظام Mac OS X الإصدار 10.5. يعود الفضل إلى Sergio 'shadown' Alvarez من n.runs AG للإبلاغ عن هذه المشكلة.
launchd
التأثير: قد تفشل التطبيقات في الدخول في وضع الحماية حينما يُطلب ذلك
متوفر لما يلي: Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
الوصف: يعالج هذا التحديث مشكلة ظهرت في Mac OS X الإصدار 10.5.5. قد تتسبب مشكلة في التنفيذ في launchd في فشل طلب التطبيق للدخول في وضع الحماية. لا تؤثر هذه المشكلة على البرامج التي تستخدم واجهة برمجة التطبيقات sandbox_init الموثقة. يعالج هذا التحديث المشكلة عن طريق تقديم إصدار مُحدَّث من launchd. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5.5 من Mac OS X.
libxslt
CVE-ID: CVE-2008-1767
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد تؤدي معالجة مستند XML إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تجاوز سعة التخزين المؤقت للكومة في مكتبة libxslt. قد تؤدي عملية عرض صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية. يتوفر مزيد من المعلومات حول التصحيح المطبق عبر موقع الويب http://xmlsoft.org/XSLT/ يعود الفضل إلى Anthony de Almeida Lopes من Outpost24 AB، وChris Evans من Google Security Team للإبلاغ عن هذه المشكلة.
MySQL Server
CVE-ID: CVE-2007-2691، CVE-2007-5969، CVE-2008-0226، CVE-2008-0227، CVE-2008-2079
متوفر لما يلي: Mac OS X Server الإصدار 10.5.5
التأثير: العديد من الثغرات الأمنية في MySQL 5.0.45
الوصف: يتم تحديث MySQL إلى الإصدار 5.0.67 لمعالجة العديد من الثغرات الأمنية، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمات برمجية عشوائية. تؤثر هذه المشكلات على أنظمة Mac OS X Server فقط. مزيد من المعلومات متاحة عبر موقع MySQL على الويب على http://dev.mysql.com/doc/refman/5.0/en/news-5-0-67.html
Networking
CVE-ID: CVE-2008-3645
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يحصل مستخدم محلي على امتيازات النظام
الوصف: يوجد تجاوز لسعة المخزن المؤقت للمكدس في مكون IPC المحلي لمكون EAPOLController الإضافي الخاص بـ configd، والذي قد يسمح للمستخدم المحلي بالحصول على امتيازات النظام. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى: Apple.
PHP
CVE-ID: CVE-2007-4850، CVE-2008-0674، CVE-2008-2371
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X Server الإصدار 10.5.5
التأثير: العديد من الثغرات الأمنية في PHP 4.4.8
الوصف: يتم تحديث PHP إلى الإصدار 4.4.9 لمعالجة العديد من الثغرات الأمنية، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمات برمجية عشوائية. مزيد من المعلومات متاحة عبر موقع PHP على الويب على http://www.php.net/ تؤثر هذه المشكلات فقط على الأنظمة التي تعمل بنظام Mac OS X الإصدار 10.4.x أو Mac OS X Server الإصدار 10.4.x أو Mac OS X Server الإصدار 10.5.x.
Postfix
CVE-ID: CVE-2008-3646
متوفر لما يلي: Mac OS X الإصدار 10.5.5
التأثير: قد يتمكن مهاجم عن بُعد من إرسال بريد إلى المستخدمين المحليين مباشرة
الوصف: توجد مشكلة في ملفات تكوين Postfix. لمدة دقيقة واحدة بعد أن ترسل أداة سطر الأوامر المحلية البريد، يمكن الوصول إلى postfix من الشبكة. خلال هذا الوقت، قد يرسل كيان بعيد أمكنه الاتصال بمنفذ SMTP بريدًا إلى مستخدمين محليين ويستخدم بروتوكول SMTP. لا تتسبب هذه المشكلة في أن يكون النظام ترحيل بريد مفتوحًا. تمت معالجة هذه المشكلة عن طريق تعديل تكوين Postfix لمنع اتصالات SMTP من الأجهزة البعيدة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X، كما لا تؤثر على Mac OS X Server. يعود الفضل إلى Pelle Johansson للإبلاغ عن هذه المشكلة.
PSNormalizer
CVE-ID: CVE-2008-3647
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يؤدي عرض ملف PostScript متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: يوجد تجاوز لسعة المخزن المؤقت في معالجة PSNormalizer لتعليق مربع الإحاطة في ملفات PostScript. قد يؤدي عرض ملف PostScript متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء عملية تحقق إضافية لملفات PostScript.
يعود الفضل إلى: Apple.
QuickLook
CVE-ID: CVE-2008-4211
متوفر لما يلي: Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يؤدي تنزيل أو عرض ملف Microsoft Excel متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة متعلقة بالتوقيع في معالجة QuickLook للأعمدة في ملفات Microsoft Excel، وقد تؤدي إلى الوصول إلى الذاكرة بشكل خارج عن الحدود. قد يؤدي تنزيل أو عرض ملف Microsoft Excel متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء عملية تحقق إضافية من صحة ملفات Microsoft Excel. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.5 من Mac OS X يعود الفضل إلى: Apple.
rlogin
CVE-ID: CVE-2008-4212
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد تسمح الأنظمة التي تم تكوينها يدويًا لاستخدام rlogin وhost.equiv بتسجيل دخول جذر بشكل غير متوقع
الوصف: تشير صفحة دليل ملف التكوين hosts.equiv إلى أن الإدخالات لا تنطبق على الجذر. ومع ذلك، تتسبب مشكلة تتعلق بالتنفيذ في rlogind إلى تطبيق هذه الإدخالات أيضًا على الجذر. يعالج هذا التحديث المشكلة عن طريق عدم السماح بـ rlogin من المستخدم الرئيسي بشكل صحيح إذا كان النظام البعيد موجودًا في hosts.equiv. لا يتم تمكين خدمة rlogin افتراضيًا في Mac OS X، ويجب تكوينها يدويًا حتى يتم تمكينها. يعود الفضل إلى Ralf Meyer للإبلاغ عن هذه المشكلة.
Script Editor
CVE-ID: CVE-2008-4214
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: قد يحصل مستخدم محلي على امتيازات مستخدم آخر يستخدم محرر البرامج النصية
الوصف: توجد مشكلة تتعلق بعملية ملف غير آمنة في تطبيق "محرر البرامج النصية" عند فتح قواميس البرمجة النصية للتطبيق. يمكن أن يتسبب مستخدم محلي في كتابة قاموس البرمجة النصية في مسار عشوائي يمكن الوصول إليه من المستخدم الذي يشغِّل التطبيق. يعالج هذا التحديث المشكلة عن طريق إنشاء الملف المؤقت في موقع آمن. يعود الفضل إلى: Apple.
Single Sign-On
متوفر لما يلي: Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: يقبل الأمر sso_util الآن كلمات السر من ملف
الوصف: يقبل الأمر sso_util الآن كلمات السر من ملف محدد في متغير البيئة SSO_PASSWD_PATH. يتيح ذلك للبرامج النصية التلقائية استخدام sso_util بأمان أكثر.
Tomcat
CVE-ID: CVE-2007-6286، CVE-2008-0002، CVE-2008-1232، CVE-2008-1947، CVE-2008-2370، CVE-2008-2938، CVE-2007-5333، CVE-2007-5342، CVE-2007-5461
متوفر لما يلي: Mac OS X Server الإصدار 10.5.5
التأثير: توجد العديد من الثغرات الأمنية في Tomcat 6.0.14
الوصف: تم تحديث Tomcat على Mac OS X الإصدار 10.5 إلى الإصدار 6.0.18 لمعالجة العديد من الثغرات الأمنية، التي قد يؤدي أخطرها إلى هجوم البرمجة النصية عبر المواقع. تؤثر هذه المشكلات على أنظمة Mac OS X Server فقط. يتوفر مزيد من المعلومات عبر موقع Tomcat على http://tomcat.apache.org/
vim
CVE-ID: CVE-2008-2712، CVE-2008-4101، CVE-2008-2712، CVE-2008-3432، CVE-2008-3294
متوفر لما يلي: Mac OS X الإصدار 10.5.5، Mac OS X Server الإصدار 10.5.5
التأثير: العديد من الثغرات الأمنية في vim 7.0
الوصف: توجد ثغرات أمنية متعددة في vim 7.0، وقد يؤدي أخطرها إلى تنفيذ تعليمات برمجية عشوائية عند استخدام ملفات متطفلة. يعالج هذا التحديث المشكلات عن طريق التحديث إلى vim 7.2.0.22. مزيد من المعلومات متاحة عبر موقع vim على الويب على http://www.vim.org/
Weblog
CVE-ID: CVE-2008-4215
متوفر لما يلي: Mac OS X Server الإصدار 10.4.11
التأثير: قد لا يتم فرض التحكم في الوصول إلى منشورات مدونة الويب
الوصف: توجد حالة خطأ لم يتم التحقق منها في سيرفر مدونة الويب. قد تتسبب إضافة مستخدم بأسماء قصيرة متعددة إلى قائمة التحكم في الوصول لمنشور مدونة ويب في عدم فرض خادم مدونة الويب للتحكم في الوصول. تمت معالجة هذه المشكلة عن طريق تحسين طريقة حفظ قوائم التحكم في الوصول. تؤثر هذه المشكلة فقط على الأنظمة التي تعمل بنظام Mac OS X Server الإصدار 10.4. يعود الفضل إلى: Apple.