نبذة حول محتوى أمان OS X El Capitan 10.11.2، وتحديث الأمان 2015-005 Yosemite، وتحديث الأمان 2015-008 Mavericks
يتناول هذا المستند محتوى أمان OS X El Capitan 10.11.2، وتحديث الأمان 2015-005 Yosemite، وتحديث الأمان 2015-008 Mavericks.
لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.
وحيثما أمكن، يتمّ استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.
للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.
نظام التشغيل OS X El Capitan 10.11.2، وتحديث الأمان 2015-005 Yosemite، وتحديث الأمان 2015-008 Mavericks
apache_mod_php
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: العديد من نقاط الضعف في PHP
الوصف: وجود العديد من الثغرات الأمنية في إصدارات PHP الأقدم من 5.5.29، وقد تؤدي أخطر تلك الثغرات إلى تنفيذ تعليمة برمجية عن بُعد. تمت معالجة هذه المشكلات عن طريق تحديث PHP إلى الإصدار 5.5.30.
CVE-ID
CVE-2015-7803
CVE-2015-7804
AppSandbox
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتسبب تطبيق ضار في الوصول إلى "جهات الاتصال" بعد إلغاء الوصول
الوصف: وجدت مشكلة في معالجة وضع الحماية للروابط الثابتة. تمت معالجة هذه المشكلة من خلال المعالجة المحسّنة لوضع الحماية الخاص بالتطبيق.
CVE-ID
CVE-2015-7001 : Razvan Deaconescu and Mihai Bucicoiu من جامعة بوليتينيكا ببوخارست؛ وLuke Deshotels وWilliam Enck من جامعة ولاية كارولينا الشمالية؛ وLucas Vincenzo Davi وAhmad-Reza Sadeghi من جامعة دارمشتات للتكنولوجيا.
Bluetooth
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تلف ذاكرة في واجهة Bluetooth HCI. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7108 : Ian Beer من Google Project Zero
CFNetwork HTTPProtocol
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من تجاوز HSTS
الوصف: وجود مشكلة في التحقق من صحة أحد المدخلات عند معالجة عنوان URL. تمت معالجة هذه المشكلة عبر التحقق المحسّن من عنوان URL.
CVE-ID
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) من شركة .Gehirn Inc وMuneaki Nishimura (nishimunea)
Compression
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وجود مشكلة بسبب الوصول إلى ذاكرة غير مهيأة في zlib. تمّ التصدي لهذه المشكلة عبر التهيئة المحسّنة للذاكرة والتحقق الإضافي من صحة تدفقات zlib.
CVE-ID
CVE-2015-7054 : j00ru
ملفات تعريف التكوين
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن أحد المخترقين المحليين من تثبيت ملف تعريف التكوين دون امتيازات المسؤول
الوصف: وجود مشكلة عند تثبيت ملفات تعريف التكوين. تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة من الاعتماد.
CVE-ID
CVE-2015-7062 : David Mulder من Dell Software
CoreGraphics
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-7105 : John Villamil (@day6reak)، من فريق Yahoo Pentest
CoreMedia Playback
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات وسائط تالفة. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-7074 : Apple
CVE-2015-7075
صور القرص
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود مشكلة تلف الذاكرة خلال تحليل صور الأقراص. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7110 : Ian Beer من Google Project Zero
EFI
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تحقق من صحة المسار في أداة تحميل kernel. تمّ التصدّي لهذه المشكلة من خلال الإبراء المحسّن للبيئة.
CVE-ID
CVE-2015-7063 : Apple
إضافة ملف إلى الإشارات المرجعية
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد تتمكّن العملية الموجودة في وضع الأمان من التحايل على قيود وضع الأمان
الوصف: وجود مشكلة تحقق من صحة المسار في إشارات مرجعية في نطاق التطبيق. تمّ التصدّي لهذه المشكلة من خلال الإبراء المحسّن للبيئة.
CVE-ID
CVE-2015-7071 : Apple
Hypervisor
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة في الاستخدام بعد مشكلة حرة خلال معالجة كائنات VM. تمت معالجة هذه المشكلة عبر إدارة الذاكرة المحسنة.
CVE-ID
CVE-2015-7078 : Ian Beer من Google Project Zero
iBooks
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يؤدي تحليل ملف iBooks متطفّل إلى الكشف عن معلومات مستخدم
الوصف: وجود مشكلة مرجع كيان خارجي لـ XML عند تحليل iBook. تمت معالجة هذه المشكلة عبر التحليل المحسّن.
CVE-ID
CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) وPatrik Fehrenbach (@ITSecurityguard)
ImageIO
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجود مشكلة تلف الذاكرة في ImageIO. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7053 : Apple
برنامج تشغيل رسومات Intel
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: تمت معالجة مشكلة عدم مرجعية لمؤشر قيمة خالية خلال التحقق المحسّن من الإدخال.
CVE-ID
CVE-2015-7076 : Juwei Lin من TrendMicro، beist وABH من BoB، وJeongHoon Shin@A.D.D
برنامج تشغيل رسومات Intel
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تلف الذاكرة في برنامج تشغيل رسومات Intel. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7106 : Ian Beer من Google Project Zero، Juwei Lin من TrendMicro، beist وABH من BoB، وJeongHoon Shin@A.D.D
برنامج تشغيل رسومات Intel
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تتعلق بالوصول إلى الذاكرة خارج الحدود في برنامج تشغيل رسومات Intel. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7077 : Ian Beer من Google Project Zero
IOAcceleratorFamily
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود مشكلة تلف الذاكرة في IOAcceleratorFamily. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7109 : Juwei Lin من TrendMicro
IOHIDFamily
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود العديد من مشكلات تلف الذاكرة في API. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-7111 : بيست وABH من BoB
CVE-2015-7112 : Ian Beer من Google Project Zero
IOKit SCSI
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود مشكلة عدم مرجعية مؤشر فارغ في معالجة نوع عميل مستخدم معين. تمت معالجة هذه المشكلة من خلال التحقق المحسّن.
CVE-ID
CVE-2015-7068 : Ian Beer من Google Project Zero
IOThunderboltFamily
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: وُجدت عدم مرجعية مؤشر فارغ في معالجة IOThunderboltFamily لأنواع معيّنة من userclient. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من سياقات IOThunderboltFamily.
CVE-ID
CVE-2015-7067 : Juwei Lin من TrendMicro
Kernel
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكن تطبيق محلي من التسبب في رفض للخدمة
الوصف: تمت معالجة العديد من مشكلات رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7040 : Lufeng Li من فريق Qihoo 360 Vulcan Team
CVE-2015-7041 : Lufeng Li من فريق Qihoo 360 Vulcan Team
CVE-2015-7042 : Lufeng Li من فريق Qihoo 360 Vulcan Team
CVE-2015-7043 : Tarjei Mandt (@kernelpool)
Kernel
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود العديد من مشكلات تلف الذاكرة في kernel. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-7083 : Ian Beer من Google Project Zero
CVE-2015-7084 : Ian Beer من Google Project Zero
Kernel
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود مشكلة في تحليل رسائل mach. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة رسائل mach.
CVE-ID
CVE-2015-7047 : Ian Beer من Google Project Zero
أدوات kext
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود مشكلة تحقق خلال تحميل امتدادات kernel. تمت معالجة هذه المشكلة من خلال التحقق الإضافي.
CVE-ID
CVE-2015-7052 : Apple
الوصول إلى سلسلة المفاتيح
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكّن تطبيق ضار من التخفي في صورة خادم سلسلة المفاتيح.
الوصف: وجود مشكلة في كيفية تفاعل "الوصول إلى سلسلة المفاتيح" مع "عميل سلسلة المفاتيح". تمت معالجة هذه المشكلة عبر إزالة الوظائف القديمة.
CVE-ID
CVE-2015-7045 : Luyi Xing وXiaoFeng Wang من Indiana University Bloomington، Xiaolong Bai من Indiana University Bloomington وTsinghua University، Tongxin Li من Peking University، Kai Chen من Indiana University Bloomington وInstitute of Information Engineering، Xiaojing Liao من Georgia Institute of Technology، Shi-Min Hu من Tsinghua University، وXinhui Han من Peking University
libarchive
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة أرشيفات. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2011-2895 : @practicalswift
libc
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد تؤدي معالجة حزمة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجود العديد من تجاوزات التخزين المؤقت في مكتبة C القياسية. تمت معالجة هذه المشكلات عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-7038 : Brian D. Wells of E. W. Scripps وNarayan Subramanian من Symantec Corporation/Veritas LLC
CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)
تم تحديث المشاركة في 3 مارس 2017
libexpat
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: العديد من الثغرات الأمنية في expat
الوصف: وجود العديد من الثغرات الأمنية في إصدار expat الأقدم من 2.1.0. وتمت معالجة هذه المشاكل من خلال تحديث expat إلى الإصدارات 2.1.0.
CVE-ID
CVE-2012-0876 : Vincent Danen
CVE-2012-1147 : Kurt Seifried
CVE-2012-1148 : Kurt Seifried
libxml2
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد يؤدي تحليل مستند XML متطفّل إلى الكشف عن معلومات مستخدم
الوصف: وجود مشكلة تلف ذاكرة في تحليل ملفات XML. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7115 : Wei Lei وLiu Yang من Nanyang Technological University
CVE-2015-7116 : Wei Lei وLiu Yang من Nanyang Technological University
OpenGL
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وجود العديد من مشكلات تلف الذاكرة في OpenGL. تمّت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-7064 : Apple
CVE-2015-7065 : Apple
CVE-2015-7066 : Tongbo Luo وBo Qu من Palo Alto Networks
OpenLDAP
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: يُمكن أن يتسبب عميل بعيد غير مصدّق في رفض الخدمة
الوصف: توجد مشكلة تحقق من الإدخال في OpenLDAP. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-6908
OpenSSH
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: العديد من الثغرات الأمنية في LibreSSL
الوصف: وجود العديد من الثغرات الأمنية في إصدارات LibreSSL الأقدم من 2.1.8. تمت معالجتها عبر تحديث LibreSSL إلى الإصدار 2.1.8.
CVE-ID
CVE-2015-5333
CVE-2015-5334
QuickLook
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
الأثر: قد يؤدي فتح ملف iWork متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات iWork. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7107
Sandbox
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكن تطبيق متطفل يتمتع بامتيازات الجذر من تجاوز التخطيط العشوائي لمساحة عنوان kernel.
الوصف: توجد مشكلة في فصل امتياز غير كافٍ في xnu. تمت معالجة هذه المشكلة عبر الفحص المحسّن للاعتماد.
CVE-ID
CVE-2015-7046 : Apple
الأمان
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: يُمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ إجباري لتعليمات برمجية.
الوصف: وجود مشكلة تلف الذاكرة عند معالجة عمليات تعارف SSL. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-7073 : Benoit Foucher من ZeroC، Inc.
الأمان
متوفر لما يلي: الإصدار 10.9.5 من OS X Mavericks والإصدار 10.10.5 من OS X Yosemite
التأثير: قد تؤدي معالجة شهادة متطفلة إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجود العديد من مشاكل تلف الذاكرة خلال أداة فك ترميز ASN.1. تمت معالجة هذه المشكلات عبر التحقق المحسن من صحة الإدخال
CVE-ID
CVE-2015-7059 : David Keeler من Mozilla
CVE-2015-7060 : Tyson Smith من Mozilla
CVE-2015-7061 : Ryan Sleevi من Google
الأمان
متوفر لما يلي: الإصدار 10.9.5 من نظام OS X Mavericks والإصدار 10.10.5 من نظام OS X Yosemite والإصدار 10.11 و10.11.1 من نظام OS X El Capitan
التأثير: قد يتمكن تطبيق ضار من الوصول إلى عناصر سلسلة مفاتيح المستخدم
الوصف: وجود مشكلة في التحقق من صحة قوائم التحكم في الوصول لعناصر سلسلة مفاتيح. تمت معالجة هذه المشكلة من خلال عمليات التحقق المحسّنة من قائمة التحكم في الوصول.
CVE-ID
CVE-2015-7058
حماية تكامل النظام
متوفر لـ: الإصدار 10.11 و10.11.1 من OS X El Capitan
التأثير: قد يتمكن تطبيق ضار ذو امتيازات جذرية من تنفيذ تعليمة برمجية ضارة من خلال امتيازات النظام
الوصف: وجود مشكلة خاصة بالامتيازات خلال معالجة عمليات التحميل الموحدة. تمت معالجة هذه المشكلة عبر الفحص المحسّن للاعتماد.
CVE-ID
CVE-2015-7044 : MacDefender
ملاحظات
يوصى بتحديث الأمان 2015-005 و2015-008 لكافة المستخدمين، حيث يعمل على تحسين أمان نظام OS X. وبعد تثبيت هذا التحديث، لن يتم تمكين المكون الإضافي لمستعرض الويب QuickTime 7 مجددًا بصورة افتراضية. تعرّف على ما يمكنك فعله إذا كنت ما زلت بحاجة إلى هذا المكون الإضافي القديم.
يشتمل الإصدار 10.11.2 من OS X El Capitan على محتوى أمان Safari 9.0.2.
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.