نبذة عن تحديث الأمان 2006‎-006 وتحديث Mac OS X 10.4.8

يتناول هذا المستند تحديث الأمان 2006‎-006 ومحتوى أمان تحديث Mac OS X 10.4.8، الذي يمكن تنزيله وتثبيته عبر تفضيلات "تحديث البرامج" أو من تنزيلات Apple.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع "أمان منتجات Apple".

لمعرفة معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."

إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.

للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."

Mac OS X الإصدار 10.4.8 وتحديث الأمان 2006‎-006

  • CFNetwork

    CVE-ID: CVE-2006-4390

    متوفر لما يلي: Mac OS X الإصدار 10.3.9 وMac OS X Server الإصدار 10.3.9 وMac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد يسمح عملاء CFNetwork، مثل سفاري، لمواقع SSL غير المصادق عليها بالظهور على أنها مصادق عليها

    الوصف: عادةً ما تتم مصادقة الاتصالات التي تم إنشاؤها باستخدام SSL وتشفيرها. عند تنفيذ التشفير بدون مصادقة، قد تتمكن المواقع الضارة من الظهور كمواقع موثوق بها. في حالة سفاري، قد يؤدي ذلك إلى عرض أيقونة القفل عندما لا يمكن الوثوق بهوية موقع بعيد. يعالج هذا التحديث المشكلة عن طريق عدم السماح باتصالات SSL المجهولة بشكل افتراضي. نتوجه بالشكر إلى Adam Bryzak من Queensland University of Technology للإبلاغ عن هذه المشكلة.

  • Flash Player

    CVE-ID: CVE-2006-3311 وCVE-2006-3587 وCVE-2006-3588 وCVE-2006-4640

    متوفر لما يلي: Mac OS X الإصدار 10.3.9 وMac OS X Server الإصدار 10.3.9 وMac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد يؤدي تشغيل محتوى Flash إلى تنفيذ تعليمات برمجية عشوائية

    الوصف: يحتوي Adobe Flash Player على ثغرات أمنية حرجة قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية عند التعامل مع محتوى ضار. يعالج هذا التحديث المشكلات من خلال تضمين الإصدار 9.0.16.0 من Flash Player على Mac OS X الإصدار 10.3.9 والإصدار 9.0.20.0 من Flash Player على أنظمة Mac OS X الإصدار 10.4.

    يتوفر مزيد من المعلومات عبر موقع Adobe على الويب على العنوان التالي: http://www.adobe.com/support/security/bulletins/apsb06-11.html.

  • ImageIO

    CVE-ID: CVE-2006-4391

    متوفر لما يلي: Mac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    Impact: التأثير: قد يؤدي عرض صورة JPEG2000 ضارة إلى تعطل التطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: من خلال إنشاء صورة JPEG2000 ضارة بإتقان، يمكن للمخترق تشغيل تجاوز لسعة المخزن المؤقت الذي قد يؤدي إلى تعطل التطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث الصورة عن طريق إجراء تحقق إضافي من صور JPEG2000. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.4 من Mac OS X. نتوجه بالشكر إلى Tom Saxton من Idle Loop Software Design للإبلاغ عن هذه المشكلة.

  • Kernel

    CVE-ID: CVE-2006-4392

    متوفر لما يلي: Mac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد يتمكن المستخدمون المحليون من تشغيل تعليمات برمجية عشوائية بامتيازات مرتفعة

    الوصف: توفر آلية معالجة الأخطاء في kernel، والمعروفة باسم منافذ استثناء Mach، القدرة على التحكم في البرامج عند مواجهة أنواع معينة من الأخطاء. يمكن للمستخدمين المحليين المتطفلين استخدام هذه الآلية لتنفيذ تعليمة برمجية عشوائية في البرامج ذات الامتيازات في حالة مواجهة خطأ. يعالج هذا التحديث المشكلة عن طريق تقييد الوصول إلى منافذ استثناء Mach للبرامج ذات الامتيازات. نتزجه بالشكر إلى Dino Dai Zovi من Matasano Security للإبلاغ عن هذه المشكلة.

  • LoginWindow

    CVE-ID: CVE-2006-4397

    متوفر لما يلي: Mac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: بعد محاولة غير ناجحة لتسجيل الدخول إلى حساب شبكة، قد يتمكن مستخدمون محليون آخرون من الوصول إلى تذاكر Kerberos

    الوصف: نظرًا لوجود حالة خطأ لم يتم التحقق منها، قد لا يتم إتلاف تذاكر Kerberos بشكل صحيح بعد محاولة تسجيل الدخول إلى حساب شبكة عبر نافذة تسجيل الدخول دون جدوى. قد يؤدي ذلك إلى وصول غير مصرح به من قِبل مستخدمين محليين آخرين إلى تذاكر Kerberos الخاصة بالمستخدم السابق. يعالج هذا التحديث المشكلة عن طريق مسح ذاكرة التخزين المؤقت لبيانات الاعتماد بعد عمليات تسجيل الدخول غير الناجحة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.4 من Mac OS X. نتوجه بالشكر إلى Patrick Gallagher من Digital Peaks Corporation للإبلاغ عن هذه المشكلة.

  • LoginWindow

    CVE-ID: CVE-2006-4393

    متوفر لما يلي: Mac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد تكون تذاكر Kerberos متاحة للمستخدمين المحليين الآخرين في حالة تمكين "التبديل السريع بين المستخدمين"

    الوصف: قد يتيح خطأ في "معالجة التبديل السريع" بين المستخدمين لمستخدم محلي الوصول إلى تذاكر Kerberos للمستخدمين المحليين الآخرين. تم تحديث "التبديل السريع بين المستخدمين" لمنع حدوث هذه الحالة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.4 من Mac OS X. نتوجه بالشكر إلى Ragnar Sundblad من Royal Institute of Technology، ستوكهولم، السويد، للإبلاغ عن هذه المشكلة.

  • LoginWindow

    CVE-ID: CVE-2006-4394

    متوفر لما يلي: Mac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد تتمكن حسابات الشبكة من تجاوز عناصر التحكم في الوصول إلى خدمة نافذة تسجيل الدخول

    الوصف: يمكن استخدام عناصر التحكم في الوصول إلى الخدمة لتقييد المستخدمين المسموح لهم بتسجيل الدخول إلى النظام عبر نافذة تسجيل الدخول. يتيح خطأ منطقي في نافذة تسجيل الدخول لحسابات الشبكة التي لا تحتوي على معرّفات GUID تجاوز عناصر التحكم في الوصول إلى الخدمة. تؤثر هذه المشكلة فقط على الأنظمة التي تم تكوينها لاستخدام عناصر التحكم في الوصول إلى الخدمة لنافذة تسجيل الدخول والسماح لحسابات الشبكة بمصادقة المستخدمين بدون معرّف GUID. تم حل المشكلة عن طريق معالجة عناصر التحكم في الوصول إلى الخدمة بشكل صحيح في نافذة تسجيل الدخول. لا تؤثر هذه المشكلة على الأنظمة قبل Mac OS X الإصدار 10.4.

  • Preferences

    CVE-ID: CVE-2006-4387

    متوفر لما يلي: Mac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: بعد إزالة امتيازات مسؤول الحساب، قد يستمر الحساب في إدارة تطبيقات WebObjects

    الوصف: قد يفشل إلغاء تحديد خانة الاختيار "السماح للمستخدم بإدارة هذا الكمبيوتر" في "تفضيلات النظام" في إزالة الحساب من مجموعات appserveradm أو appserverusr. تسمح هذه المجموعات للحساب بإدارة تطبيقات WebObjects. يعالج هذا التحديث المشكلة عن طريق التأكد من إزالة الحساب من المجموعات المناسبة. لا تؤثر هذه المشكلة على الأنظمة التي تسبق الإصدار 10.4 من Mac OS X. نتوجه بالشكر إلى Phillip Tejada من Fruit Bat Software للإبلاغ عن هذه المشكلة.

  • QuickDraw Manager

    CVE-ID: CVE-2006-4395

    متوفر لما يلي: Mac OS X الإصدار 10.3.9 وMac OS X Server الإصدار 10.3.9 وMac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد يؤدي فتح صورة PICT ضارة مع تطبيقات معينة إلى تعطل التطبيق أو تنفيذ تعليمات برمجية عشوائية

    الوصف: تستدعي بعض التطبيقات عملية QuickDraw غير مدعومة لعرض صور PICT. من خلال إنشاء صورة PICT ضارة بإتقان، يمكن للمخترق تشغيل تلف الذاكرة في هذه التطبيقات، ما قد يؤدي إلى تعطل التطبيق أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق منع العملية غير المدعومة.

  • SASL

    CVE-ID: CVE-2006-1721

    متوفر لما يلي: Mac OS X الإصدار 10.3.9 وMac OS X Server الإصدار 10.3.9 وMac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد يتمكن المخترقون عن بُعد من التسبب في رفض خدمة خادم IMAP

    الوصف: يمكن أن تؤدي مشكلة في دعم تفاوض DIGEST-MD5 في Cyrus SASL إلى حدوث خطأ تجزئة في خادم IMAP باستخدام رأس نطاق ضار. يعالج هذا التحديث المشكلة من خلال المعالجة المحسّنة لرؤوس النطاق في محاولات المصادقة.

  • WebCore

    CVE-ID: CVE-2006-3946

    متوفر لما يلي: Mac OS X الإصدار 10.3.9 وMac OS X Server الإصدار 10.3.9 وMac OS X الإصدار 10.4 حتى Mac OS X الإصدار 10.4.7 وMac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: قد يؤدي عرض صفحة ويب ضارة إلى تنفيذ تعليمات برمجية عشوائية

    الوصف: قد يسمح خطأ في إدارة الذاكرة في معالجة WebKit للغة HTML معينة لموقع ويب ضار بالتسبب في حدوث عطل أو احتمال تنفيذ تعليمات برمجية عشوائية أثناء عرض المستخدم للموقع. يعالج هذا التحديث المشكلة عن طريق منع الحالة التي تسبب تجاوز السعة. نتوجه بالشكر إلى Jens Kutilek من Netzallee وLurene Grenier - مهندس أبحاث أول في Sourcefire VRT، وJose Avila III - محلل أمني في ONZRA للإبلاغ عن هذه المشكلة.

  • Workgroup Manager

    CVE-ID: CVE-2006-4399

    متوفر لما يلي: Mac OS X Server الإصدار 10.4 حتى Mac OS X Server الإصدار 10.4.7

    التأثير: الحسابات الموجودة في أحد أصول NetInfo التي يبدو أنها تستخدم كلمات سر ShadowHash قد تستمر في استخدام التشفير

    الوصف: يبدو أن Workgroup Manager يسمح بتبديل نوع المصادقة من التشفير إلى كلمات سر ShadowHash في أحد أصول NetInfo، في حين أنه لا يسمح بذلك في الواقع. سيشير تحديث عرض الحساب في أحد أصول NetInfo بشكل صحيح إلى أن التشفير لا يزال قيد الاستخدام. يعالج هذا التحديث المشكلة عن طريق منع المسؤولين من تحديد كلمات سر ShadowHash للحسابات الموجودة في أحد أصول NetInfo. نتوجه بالشكر إلى Chris Pepper من The Rockefeller University للإبلاغ عن هذه المشكلة.

ملاحظة بشأن التثبيت

سيقدم "تحديث البرامج" التحديث الذي ينطبق على تكوين نظامك. هناك حاجة إلى تحديث واحد فقط.

سيتم تثبيت تحديث الأمان​2006‎-006 على أنظمة Mac OS X الإصدار 10.3.9 وMac OS X Server الإصدار 10.3.9.

يحتوي Mac OS X الإصدار 10.4.8 على إصلاحات الأمان الموجودة في تحديث الأمان​2006‎-006 وسيتم تثبيته على Mac OS X الإصدار 10.4 أو الأحدث، بالإضافة إلى أنظمة Mac OS X Server الإصدار 10.4 أو الأحدث.

مهم: يتم تقديم معلومات عن المنتجات غير المصنّعة بواسطة Apple لأغراض الاطلاع فقط، ولا تعتبر توصية من جانب Apple أو موافقة عليها. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.

تاريخ النشر: