نبذة حول محتوى الأمان لتحديث برامج iOS 6.1

يتناول هذا المستند محتوى الأمان لنظام التشغيل iOS 6.1.

لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أية برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

وحيثما أمكن، يتم استخدام معرفات CVE للإشارة إلى قابلية الإصابة للحصول على مزيد من المعلومات.

للتعرف على تحديث الأمان الآخر، راجع تحديثات أمان Apple.

iOS 6.1

  • خدمات الهوية

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمّ تجاوز المصادقة المعتمدة على مصادقة معرّف Apple ID المستندة إلى الشهادة.

    الوصف: وُجدت مشكلة تتعلق بالمعالجة في "خدمات الهوية". فإذا أخفق التحقق من صحة شهادة AppleID للمستخدم، فيعني ذلك أنه تمّ افتراض أن السلسلة الخالية تمثل AppleID. فإذا تعرّضت العديد من الأنظمة التي تتبع مستخدمين مختلفين لهذه الحالة، فقد يحدث تمديد للثقة في التطبيقات التي تعتمد على هذا النوع من تحديد الهوية. تمّ التصدي لهذه المشكلة عن طريق التأكد من تلقي NULL (قيمة خالية) بدلاً من أي سلسلة فارغة.

    CVE-ID

    CVE-2013-0963

  • المكونات الدولية لـ Unicode

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي الانتقال إلى موقع ويب متطفل إلى اختراق النص البرمجي على مستوى الموقع

    الوصف: وجدت مشكلة متعلقة بالتوحيد القياسي أثناء معالجة تشفير EUC-JP، الأمر الذي كان يؤدي إلى اختراق النصوص البرمجية على مستوى الموقع على المواقع التي تستخدم تشفير EUC-JP. وقد تمّ التصدي لهذه المشكلة عن طريق تحديث جدول تعيين EUC-JP.

    CVE-ID

    CVE-2011-3058 : Masato Kinugawa

  • Kernel

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسنى لعملية في وضع المستخدم الوصول إلى الصفحة الأولى لذاكرة kernel

    الوصف: ينطوي iOS kernel على عمليات فحص للتحقق أنّ تجاوز المؤشر والطول في وضع المستخدم إلى وظيفتي copyin وcopyout لن ينتج عنهما عملية في وضع المستخدم تتمكّن من الوصول إلى ذاكرة kernel مباشرة. ولا يتمّ استخدام عمليات الفحص إذا قلّ الطول عن صفحة واحدة. وقد تمّ التصدي لهذه المشكلة عبر عملية تحقق إضافية للوسيطات المؤدية إلى وظيفتي copyin وcopyout.

    CVE-ID

    CVE-2013-0964 : Mark Dowd من شركة Azimuth Security

  • الأمان

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكّن مخترق يمتلك موضع شبكة متميزًا من التقاط بيانات اعتماد المستخدم أو غير ذلك من المعلومات الحساسة

    الوصف: تمّ إصدار العديد من شهادات CA المتوسطة بطريق الخطأ من خلال TURKTRUST. وقد يتيح هذا الأمر لمهاجم متسلل إعادة توجيه الاتصالات واعتراض بيانات اعتماد المستخدم أو غيرها من المعلومات الحساسة. وقد تمّ التصدي لهذه المشكلة من خلال عدم السماح بشهادات SSL الغير صحيحة.

  • StoreKit

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يكون JavaScript ممكّنًا في Safari للجوّال بدون تدخّل المستخدم

    الوصف: إذا قام مستخدم بتعطيل JavaScript في "تفضيلات Safari"، مع الانتقال إلى موقع يعرض Smart App Banner، كان يؤدي ذلك إلى إعادة تمكين JavaScript دون تحذير المستخدم. وقد تمّ التصدي لهذه المشكلة من خلال عدم تمكين JavaScript عند الانتقال إلى موقع يعرض Smart App Banner.

    CVE-ID

    CVE-2013-0974 :‏ Andrew Plotkin من شركة Zarfhome Software Consulting|، وBen Madison من BitCloud، وMarek Durcek

  • WebKit

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    الأثر: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود العديد من مشكلات تلف الذاكرة في WebKit. تمت معالجة هذه المشكلات عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2012-2857 ‏: Arthur Gerkis

    CVE-2012-3606 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2012-3607 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2012-3621 ‏: Skylined من فريق أمان Google Chrome

    CVE-2012-3632 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2012-3687 ‏: kuzzcc

    CVE-2012-3701 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0948 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0949 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0950 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0951 ‏: Apple

    CVE-2013-0952 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0953 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0954 ‏: Dominic Cooney من شركة Google، وMartin Barbella من فريق أمان Google Chrome

    CVE-2013-0955 ‏: Apple

    CVE-2013-0956 : أمان منتجات Apple

    CVE-2012-2824 :‏ miaubiz

    CVE-2013-0958 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0959 ‏: Abhishek Arya (Inferno) من فريق أمان Google Chrome

    CVE-2013-0968 : Aaron Nelson

  • WebKit

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي نسخ محتوى ولصقه في موقع ويب متطفل إلى هجوم على الموقع بأكمله عبر النص البرمجي

    الوصف: وجدت مشكلة متعلقة بالنصوص البرمجية عبر الموقع في معالجة المحتوى الذي تمّ لصقه من أصل مختلف. وقد تمّ التصدي لهذه المشكلة عبر عملية تحقق إضافية من المحتوى الذي يتمّ لصقه.

    CVE-ID

    CVE-2013-0962 ‏: Mario Heiderich من Cure53

  • WebKit

    متوفر لأجهزة: iPhone 3GS والإصدارات الأحدث، وiPod touch (الجيل الرابع) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي الانتقال إلى موقع ويب متطفل إلى اختراق النص البرمجي على مستوى الموقع

    الوصف: وجدت مشكلة متعلقة بالنصوص البرمجية على مستوى الموقع في معالجة عناصر الإطار. وقد تمّ التصدي لهذه المشكلة عبر التتبع المحسن للأصل.

    CVE-ID

    CVE-2012-2889 ‏: Sergey Glazunov

  • WiFi

    متوفّر لأجهزة: iPhone 3GS، وiPhone 4، وiPod touch (الجيل الرابع)، وiPad 2

    التأثير: قد يتسنى لمخترق عن بُعد على شبكة WiFi نفسها تعطيل شبكة WiFi مؤقتًا

    الوصف: توجد مشكلة قراءة محظورة في معالجة برامج BCM4325 وBCM4329 الثابتة التابعة لـ Broadcom ضمن عناصر معلومات 802.11i. وقد تمّ التصدي لهذه المشكلة من خلال عملية تحقق إضافية لعناصر معلومات 802.11i.

    CVE-ID

    CVE-2012-2619 ‏: Andres Blanco وMatias Eissler من Core Security

 

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: