نبذة عن محتوى أمان الإصدار 10.4.7 من Mac OS X
يتناول هذا المستند محتوى أمان الإصدار 10.4.7 من Mac OS X، الذي يمكن تنزيله وتثبيته باستخدام "تحديث البرامج" أو من تنزيلات Apple.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع "أمان منتجات Apple".
لمعرفة معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."'
الإصدار 10.4.7 من Mac OS X
AFP
CVE-ID: CVE-2006-1468
متوفر لما يلي: الإصدار 10.4.6 من Mac OS X، الإصدار 10.4.6 من Mac OS X Server
التأثير: قد يتم الكشف عن أسماء الملفات والمجلدات لمستخدمين غير مصرح لهم
الوصف: هناك مشكلة في خادم AFP تسمح لنتائج البحث بتضمين أسماء الملفات والمجلدات التي لا يمكن للمستخدم الذي يجري البحث الوصول إليها. قد يؤدي ذلك إلى الكشف عن المعلومات إذا كانت الأسماء نفسها معلومات حساسة. يعالج هذا التحديث المشكلة عن طريق التأكد من أن نتائج البحث تتضمن فقط العناصر التي يكون المستخدم مصرحًا له بالوصول إليها. لا تؤثر هذه المشكلة على الأنظمة قبل الإصدار 10.4 من Mac OS X.
ClamAV
CVE-ID: CVE-2006-1989
متوفر لما يلي: الإصدار 10.4.6 من Mac OS X
التأثير: عند تكوين فحص الفيروسات للتحديث تلقائيًا، قد تتسبب مرآة قاعدة بيانات متطفلة في تنفيذ تعليمات برمجية عشوائية
الوصف: قد تؤدي مشكلة في التحديث التلقائي لقاعدة بيانات الفيروسات الخاصة بـ ClamAV إلى تجاوز سعة المخزن المؤقت المستند إلى المكدس. قد تتمكن مرآة قاعدة بيانات ClamAV المتطفلة أو المخادعة من التسبب في تنفيذ تعليمات برمجية عشوائية باستخدام امتيازات ClamAV. يتم إيقاف تشغيل خدمة البريد وفحص الفيروسات والتحديثات التلقائية لقاعدة بيانات الفيروسات بشكل افتراضي. يعالج هذا التحديث المشكلة من خلال دمج ClamAV 0.88.2. لا تؤثر هذه المشكلة على الأنظمة قبل الإصدار 10.4 من Mac OS X.
ImageIO
CVE-ID: CVE-2006-1469
متوفر لما يلي: الإصدار 10.4.6 من Mac OS X، الإصدار 10.4.6 من Mac OS X Server
التأثير: قد يؤدي عرض صورة TIFF متطفلة إلى تعطل التطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: من خلال صياغة صورة TIFF فاسدة بعناية، يمكن للمهاجم تشغيل تجاوز سعة المخزن المؤقت القائم على المكدس مما قد يؤدي إلى تعطل التطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من صحة صور TIFF. لا تؤثر هذه المشكلة على الأنظمة قبل الإصدار 10.4 من Mac OS X.
launchd
CVE-ID: CVE-2006-1471
متوفر لما يلي: الإصدار 10.4.6 من Mac OS X، الإصدار 10.4.6 من Mac OS X Server
التأثير: قد يحصل المستخدمون المحليون على امتيازات مرتفعة
الوصف: قد تسمح ثغرة أمنية في سلسلة التنسيق في برنامج setuid الذي تم إطلاقه لمستخدم محلي تمت مصادقته بتنفيذ تعليمات برمجية عشوائية بامتيازات النظام. المشكلة موجودة في منشأة التسجيل الخاصة بـ Launchd. يعالج هذا التحديث المشكلة عن طريق إجراء عملية تحقق إضافية عند تسجيل الرسائل. لا تؤثر هذه المشكلة على الأنظمة قبل الإصدار 10.4 من Mac OS X. ونشكر Kevin Finisterre من فريق DigitalMunition للإبلاغ عن هذه المشكلة.
OpenLDAP
CVE-ID: CVE-2006-1470
متوفر لما يلي: الإصدار 10.4.6 من Mac OS X، الإصدار 10.4.6 من Mac OS X Server
التأثير: قد يتسبب المهاجمون عن بعد في تعطل خادم Open Directory
الوصف: من خلال صياغة طلب LDAP غير صالح بعناية، قد يتمكن مهاجم عن بعد من تشغيل تأكيد في خادم OpenLDAP، مما يؤدي إلى رفض الخدمة. يعالج هذا التحديث المشكلة عن طريق تجاهل الطلب غير الصالح. لا تؤثر هذه المشكلة على الأنظمة قبل الإصدار 10.4 من Mac OS X. ونشكر فريق بحث Mu Security للإبلاغ عن هذه المشكلة.