نبذة حول محتوى الأمان لتحديث برامج iOS 6.1

يتناول هذا المستند محتوى أمان iOS 6.1.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

وحيثما أمكن، يتم استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.

للتعرّف على تحديث الأمان الآخر، راجع تحديثات أمان Apple.

iOS 6.1

• خدمات الهوية

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد يتم تجاوز المصادقة المعتمدة على مصادقة Apple ID المستندة إلى الشهادة

  الوصف: وُجدت مشكلة تتعلق بالمعالجة في "خدمات الهوية". فإذا أخفق التحقق من صحة شهادة AppleID للمستخدم، فيعني ذلك أنه تم افتراض أن السلسلة الخالية تمثل AppleID. فإذا تعرّضت العديد من الأنظمة التي تتبع مستخدمين مختلفين لهذه الحالة، فقد يتم خطأً تمديد الثقة في التطبيقات التي تعتمد على هذا النوع من تحديد الهوية. تمت معالجة هذه المشكلة بالتأكد من تلقي NULL (قيمة خالية) بدلاً من أي سلسلة فارغة.

  CVE-ID

  CVE-2013-0963

• المكونات الدولية لـ Unicode

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد تؤدي زيارة موقع ويب ضار إلى اختراق البرمجة النصية على مستوى الموقع

  الوصف: وجدت مشكلة متعلقة بالتوحيد القياسي أثناء معالجة تشفير EUC-JP، الأمر الذي كان يؤدي إلى اختراق النصوص البرمجية على مستوى الموقع على المواقع التي تستخدم تشفير EUC-JP. وقد تمت معالجة هذه المشكلة عن طريق تحديث جدول تعيين EUC-JP.

  CVE-ID

  CVE-2011-3058‏ : Masato Kinugawa

• Kernel

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد يتسنى لعملية في وضع المستخدم الوصول إلى الصفحة الأولى لذاكرة kernel

  الوصف: يحتوي iOS kernel على عمليات فحص للتحقق أنّ تجاوز المؤشر والطول في وضع المستخدم إلى وظيفتي copyin وcopyout لن ينتج عنهما عملية في وضع المستخدم تتمكّن من الوصول إلى ذاكرة kernel مباشرة. ولا يتم استخدام عمليات الفحص إذا قلّ الطول عن صفحة واحدة. وقد تمت معالجة هذه المشكلة عبر عملية تحقق إضافية للوسيطات المؤدية إلى وظيفتي copyin وcopyout.

  CVE-ID

  CVE-2013-0964‏ : Mark Dowd من شركة Azimuth Security

• الأمان

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التقاط بيانات اعتماد المستخدم أو غير ذلك من المعلومات الحساسة

  الوصف: تم إصدار العديد من شهادات CA المتوسطة بطريق الخطأ من خلال TURKTRUST. وقد يتيح هذا الأمر لمخترق متسلل إعادة توجيه الاتصالات والتقاط بيانات اعتماد المستخدم أو غيرها من المعلومات الحساسة. وقد تمت معالجة هذه المشكلة من خلال عدم السماح بشهادات SSL غير الصحيحة.

• StoreKit

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد يكون JavaScript ممكّنًا في Safari للجوّال بدون تدخّل المستخدم

  الوصف: إذا قام مستخدم بتعطيل JavaScript في "تفضيلات Safari"، مع الانتقال إلى موقع يعرض Smart App Banner، كان يؤدي ذلك إلى إعادة تمكين JavaScript دون تحذير المستخدم. وقد تمت معالجة هذه المشكلة من خلال عدم تمكين JavaScript عند الانتقال إلى موقع يعرض Smart App Banner.

  CVE-ID

  CVE-2013-0974‏ : Andrew Plotkin من شركة Zarfhome Software Consulting، وBen Madison من BitCloud، وMarek Durcek

• WebKit

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  الأثر: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية تحكمية

  الوصف: وجود العديد من مشاكل تلف الذاكرة في WebKit. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

  CVE-ID

  CVE-2012-2857‏ : Arthur Gerkis

  CVE-2012-3606‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2012-3607‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2012-3621‏ : Skylined من فريق أمان Google Chrome

  CVE-2012-3632‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2012-3687‏ : kuzzcc

  CVE-2012-3701‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0948‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0949‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0950‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0951‏ : Apple

  CVE-2013-0952‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0953‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0954‏ : Dominic Cooney من شركة Google، وMartin Barbella من فريق أمان Google Chrome

  CVE-2013-0955‏ : Apple

  CVE-2013-0956 : أمان منتجات Apple

  CVE-2012-2824‏ : miaubiz

  CVE-2013-0958‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0959‏ : ‎Abhishek Arya (Inferno)‎ من فريق أمان Google Chrome

  CVE-2013-0968‏ : Aaron Nelson

• WebKit

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد يؤدي نسخ محتوى ولصقه في موقع ويب متطفل إلى هجوم على الموقع بأكمله عبر النص البرمجي

  الوصف: وجدت مشكلة متعلقة بالنصوص البرمجية عبر الموقع في معالجة المحتوى الذي تم لصقه من أصل مختلف. وقد تمت معالجة هذه المشكلة عبر عملية تحقق إضافية من المحتوى الذي يتم لصقه.

  CVE-ID

  CVE-2013-0962‏ : Mario Heiderich من Cure53

• WebKit

  متوفر لما يلي: iPhone 3GS والأحدث، وiPod touch (الجيل الرابع) والأحدث، وiPad 2 والأحدث

  التأثير: قد تؤدي زيارة موقع ويب ضار إلى اختراق البرمجة النصية على مستوى الموقع

  الوصف: وجدت مشكلة متعلقة بالنصوص البرمجية على مستوى الموقع في معالجة عناصر الإطار. وقد تمت معالجة هذه المشكلة عبر التتبع المحسن للأصل.

  CVE-ID

  CVE-2012-2889‏ : Sergey Glazunov

• Wi-Fi

  متوفر لما يلي: iPhone 3GS، وiPhone 4، وiPod touch (الجيل الرابع)، وiPad 2

  التأثير: قد يتمكن مخترق عن بُعد موجود على شبكة Wi-Fi نفسها من تعطيل شبكة Wi-Fi مؤقتًا

  الوصف: توجد مشكلة قراءة خارج الحدود في معالجة برامج BCM4325 وBCM4329 الثابتة التابعة لـ Broadcom ضمن عناصر معلومات 802.11i. وقد تمت معالجة هذه المشكلة من خلال عملية تحقق إضافية لعناصر معلومات 802.11i.

  CVE-ID

  CVE-2012-2619‏ : Andres Blanco وMatias Eissler من Core Security