نبذة حول محتوى أمان iOS 3.1 وiOS 3.1.1 لأجهزة iPod touch
يصف هذا المستند محتوى أمان iOS 3.1 وiOS 3.1.1 لأجهزة iPod touch.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
iOS 3.1 وiOS 3.1.1 لأجهزة iPod touch
CoreAudio
CVE-ID: CVE-2009-2206
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد يؤدي فتح ملف AAC أو MP3 متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز سعة المخزن المؤقت لكومة الذاكرة المؤقتة في معالجة AAC أو ملفات MP3. قد يؤدي فتح ملف AAC أو MP3 ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى Tobias Klein من trapkit.de للإبلاغ عن هذه المشكلة.
Exchange Support
CVE-ID: CVE-2009-2794
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد يتمكن الشخص الذي لديه وصول فعلي إلى الجهاز من استخدامه بعد فترة المهلة المحددة بواسطة مسؤول Exchange
الوصف: يوفر iOS القدرة على الاتصال عبر الخدمات التي يقدمها خادم Microsoft Exchange. يتمتع مسؤول خادم Exchange بالقدرة على تحديد إعداد "الحد الأقصى لتأمين وقت عدم النشاط". يتطلب هذا من المستخدم إعادة إدخال رمز الدخول الخاص به بعد انتهاء وقت عدم النشاط من أجل استخدام خدمات Exchange. يسمح نظام iOS للمستخدم بتحديد إعداد "يتطلب رمز الدخول" الذي قد يمتد حتى 4 ساعات. لا يتأثر إعداد "يتطلب رمز الدخول" بإعداد "الحد الأقصى لقفل وقت عدم النشاط". إذا قام المستخدم بتعيين "يتطلب رمز الدخول" على قيمة أعلى من إعداد "الحد الأقصى لقفل وقت عدم النشاط"، فإن هذا سيتيح فترة زمنية لشخص لديه وصول فعلي لاستخدام الجهاز، بما في ذلك خدمات Exchange. يعالج هذا التحديث المشكلة عن طريق تعطيل اختيارات المستخدم لقيم "يتطلب رمز الدخول" الأكبر من إعداد "الحد الأقصى لتأمين وقت عدم النشاط". تؤثر هذه المشكلة فقط على iOS 2.0 والإصدارات الأحدث، وiOS لأجهزة iPod touch 2.0 والإصدارات الأحدث. يعود الفضل إلى Allan Steven، وRobert Duran، وJeff Beckham من شركة PepsiCo، وJoshua Levitsky، وMichael Breton من شركة Intel Corporation، وMike Karban من Edward Jones، وSteve Moriarty من Agilent Technologies للإبلاغ عن هذه المشكلة.
MobileMail
CVE-ID: CVE-2009-2207
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد تظل رسائل البريد الإلكتروني المحذوفة مرئية من خلال بحث الباحث
الوصف: يعثر الباحث على الرسائل المحذوفة ويسمح بالوصول إليها في مجلدات البريد على الجهاز. سيسمح هذا لأي شخص لديه حق الوصول إلى الجهاز بمشاهدة الرسائل المحذوفة. يعالج هذا التحديث المشكلة من خلال عدم تضمين البريد الإلكتروني المحذوف في نتيجة بحث الباحث. تؤثر هذه المشكلة فقط على iOS 3.0، وiOS 3.0.1، وiOS لأجهزة iPod touch 3.0. يعود الفضل إلى Clickwise Software وTony Kavadias للإبلاغ عن هذه المشكلة.
Recovery Mode
CVE-ID: CVE-2009-2795
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد يتمكن الشخص الذي لديه وصول فعلي إلى جهاز مقفل من الوصول إلى بيانات المستخدم
الوصف: يوجد تجاوز سعة المخزن المؤقت لكومة الذاكرة المؤقتة في تحليل أمر وضع الاسترداد. قد يسمح هذا لشخص آخر لديه حق الوصول الفعلي إلى الجهاز بتجاوز رمز الدخول والوصول إلى بيانات المستخدم. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود.
Telephony
CVE-ID: CVE-2009-2815
متوفر لما يلي: iOS 1.0 إلى 3.0.1
التأثير: قد يؤدي تلقي رسالة SMS متطفلة إلى انقطاع غير متوقع في الخدمة
الوصف: توجد مشكلة عدم مرجعية المؤشر الفارغ في معالجة إشعارات وصول الرسائل القصيرة. قد يؤدي تلقي رسالة SMS متطفلة إلى انقطاع الخدمة بشكل غير متوقع. يعالج هذا التحديث المشكلة من خلال تحسين معالجة رسائل SMS الواردة. الفضل يعود إلى Charlie Miller من المقيمين الأمنيين المستقلين، وCollin Mullinerمن جامعة Technical University Berlin للإبلاغ عن هذه المشكلة.
UIKit
CVE-ID: CVE-2009-2796
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد تصبح كلمات السر مرئية
الوصف: عندما يتم حذف حرف في كلمة السر، ويتم التراجع عن الحذف، يصبح الحرف مرئيًا لفترة وجيزة. قد يسمح هذا للشخص الذي يتمتع بإمكانية الوصول الفعلي إلى الجهاز بقراءة كلمة السر، حرفًا واحدًا في كل مرة. يعالج هذا التحديث المشكلة عن طريق منع ظهور الشخصية. تؤثر هذه المشكلة فقط على نظامي التشغيل iOS 3.0 وiOS 3.0.1.يعود الفضل إلى Abraham Vegh للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-2797
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد يتم الكشف عن أسماء المستخدمين وكلمات السر في عناوين URL للمواقع المرتبطة
الوصف: يتضمن سفاري اسم المستخدم وكلمة السر من عنوان URL الأصلي في رأس المرجع. قد يؤدي ذلك إلى الكشف عن معلومات حساسة. يعالج هذا التحديث المشكلة من خلال عدم تضمين أسماء المستخدمين وكلمات السر في رؤوس المرجع. يعود الفضل إلى James A. T. Rice من شركة Jump Networks Ltd للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1725
متوفر لما يلي iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تلف في الذاكرة في معالجة WebKit لمراجع الأحرف الرقمية. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لمراجع الأحرف الرقمية. يعود الفضل إلى Chris Adams للإبلاغ عن هذه المشكلة.
WebKit
CVE-ID: CVE-2009-1724
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى هجوم البرمجة النصية عبر المواقع
الوصف: قد تؤدي مشكلة في معالجة WebKit للكائنات الرئيسية والأعلى إلى حدوث تقاطع -هجوم البرمجة النصية للموقع عند زيارة موقع ويب متطفل. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة للكائنات الرئيسية والأعلى.
WebKit
CVE-ID: CVE-2009-2199
متوفر لما يلي: iOS 1.0 إلى 3.0.1، وiOS لأجهزة iPod touch 1.1 إلى 3.0
التأثير: يمكن استخدام الأحرف المتشابهة في عنوان URL لإخفاء موقع ويب
الوصف: يمكن استخدام دعم اسم النطاق الدولي (IDN) وخطوط Unicode المضمنة في سفاري يُستخدم لإنشاء عنوان URL يحتوي على أحرف متشابهة. ويمكن استخدامها في موقع ويب متطفل لتوجيه المستخدم إلى موقع مخادع يبدو بصريًا أنه مجال معتمد. يعالج هذا التحديث المشكلة عن طريق استكمال قائمة WebKit بالأحرف المتشابهة المعروفة. يتم عرض الأحرف المتشابهة في Punycode في شريط العناوين. يعود الفضل إلى Chris Weber من شركة Casaba Security, LLC للإبلاغ عن هذه المشكلة.