حول محتوى الأمان لنظام التشغيل iOS 8.4

يتناول هذا المستند محتوى الأمان لنظام التشغيل iOS 8.4.

لحماية عملائنا، لا تفصح Apple عن مشكلات الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أية برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، انظر كيفية استخدام مفتاح PGP لأمان منتجات Apple.

وحيثما أمكن، يتم استخدام معرفات CVE للإشارة إلى قابلية الإصابة للحصول على مزيد من المعلومات.

للتعرف على تحديثات الأمان الأخرى، راجع  تحديثات أمان Apple.

iOS 8.4

  • Application Store

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسبب تطبيق ملف تعريف السداد العالمي الضار في منع تشغيل التطبيقات

    الوصف: توجد مشكلة في منطق تثبيت تطبيقات ملفات تعريف السداد العالمية، مما يؤدي إلى حدوث تعارض مع معرفات الحزمة الموجودة. تمت معالجة هذه المشكلة عبر الفحص المحسّن للتعارض.

    CVE-ID

    CVE-2015-3722 : Zhaofeng Chen وHui Xue وTao (Lenx) Wei من FireEye, Inc.
  • سياسة الوثوق في الشهادات

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من اعتراض حركة مرور الشبكة

    الوصف: تم إصدار شهادة وسيطة بواسطة الجهة الموثقة CNNIC بشكل غير صحيح. تمت معالجة هذه المشكلة عن طريق إضافة آلية للوثوق في مجموعة فرعية من الشهادات فقط الصادرة قبل الإصدار الخاطئ للشهادة الوسيطة. يمكنك الحصول على تفاصيل إضافية حول قائمة السماح بالثقة الأمنية الجزئية.

  • سياسة الوثوق في الشهادات

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: تحديث سياسة الوثوق في الشهادات

    الوصف: تم تحديث سياسة الوثوق في الشهادات. يمكن عرض القائمة الكاملة للشهادات في iOS Trust Store.

  • مصادقة HTTP لـ CFNetwork

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، iPod touch (الجيل الخامس) والإصدارات الأحدث، iPad 2 والإصدارات الأحدث، الأثر: قد يؤدي اتباع عنوان URL متطفل إلى تنفيذ إجباري للرمز

    الوصف: توجد مشكلة تتعلق بتلف الذاكرة عند معالجة ببيانات اعتماد عنوان URL محددة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3684 : Apple

  • CoreGraphics

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

    الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات تعريف ICC. تمت معالجة هذه المشكلات عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-3723 : chaithanya (SegFault) يعمل مع Zero Day Initiative لدى HP

    CVE-2015-3724 : WanderingGlitch الخاص بـ Zero Day Initiative لدى HP

  • CoreText

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد توؤدي معالجة ملف نصي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

    الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات النص. تمت معالجة هذه المشكلات عبر الفحص المحسن للحدود.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685 : Apple

    CVE-2015-3686 : John Villamil (@day6reak)، من فريق Yahoo Pentest

    CVE-2015-3687 : John Villamil (@day6reak)، من فريق Yahoo Pentest

    CVE-2015-3688 : John Villamil (@day6reak)، من فريق Yahoo Pentest

    CVE-2015-3689 : Apple

  • coreTLS

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة باعتراض اتصالات SSL/TLS

    الوصف: يقبل coreTLS مفاتيح Diffie-Hellman (DH) عابر قصير، كالمستخدم في مجموعات تشفير DH عابر ذات قوة التصدير. تسمح هذه المشكلة، المعروفة أيضًا باسم Logjam، بأن يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة بخفض مستوى الأمان إلى 512 بت DH إذا كان الخادم يدعم مجموعات تشفير DH عابر ذات قوة التصدير. تمت معالجة هذه المشكلة عبر زيادة الحد الأدني المسموح به لحجم مفاتيح DH عابر إلى 768 بت.

    CVE-ID

    CVE-2015-4000 : فريق weakdh في weakdh.org، Hanno Boeck

  • DiskImages

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: توجد مشكلة تتعلق بالكشف عن المعلومات أثناء معالجة صور القرص. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3690 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • FontParser

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي معالجة ملف خطي متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

    الوصف: توجد العديد من مشكلات تلف الذاكرة أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلات عبر التحقق المحسن من صحة الإدخال.

    CVE-ID

    CVE-2015-3694 : John Villamil (@day6reak)، من فريق Yahoo Pentest

    CVE-2015-3719 : John Villamil (@day6reak)، من فريق Yahoo Pentest

  • ImageIO

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد توؤدي معالجة ملف .tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات .tiff. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID

    CVE-2015-3703 : Apple

  • ImageIO

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: وجود العديد من الثغرات الأمنية في libtiff، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود العديد من الثغرات الأمنية في إصدارات libtiff الأقدم من 4.0.4. وتمت معالجتها عبر تحديث إصدار libtiff إلى 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130
     

  • Kernel

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: توجد مشكلة تتلعق بإدارة الذاكرة أثناء معالجة معلمات HFS والتي قد تؤدي إلى الكشف عن تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للذاكرة.

    CVE-ID

    CVE-2015-3721 : Ian Beer من Google Project Zero
  • Mail

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي بريد إلكتروني متطفل إلى استبدال محتوى الرسالة بصفحة ويب إجبارية عند عرض الرسالة.

    الوصف: توجد مشكلة في دعم البريد الإلكتروني HTML مما يتيح إعادة تحميل محتوى الرسالة بصفحة ويب إجبارية. تمت معالجة هذه المشكلة عبر تقييد الدعم لمحتوى HTML.

    CVE-ID

    CVE-2015-3710 : Aaron Sigel من vtty.com، Jan Souček
  • MobileInstallation

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يؤدي تطبيق ملف تعريف سداد عالمي متطفل إلى منع تشغيل أحد تطبيقات Watch

    الوصف: توجد مشكلة في منطق تثبيت تطبيقات ملفات تعريف السداد العالمية على Watch، مما يؤدي إلى حدوث تعارض مع معرفات الحزمة الموجودة. تمت معالجة هذه المشكلة عبر الفحص المحسّن للتعارض.

    CVE-ID

    CVE-2015-3725 : Zhaofeng Chen وHui Xue وTao (Lenx) Wei من FireEye, Inc.

  • Safari

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تعرض معلومات المستخدم على نظام الملفات للخطر

    الوصف: وجود مشكلة بإدارة الحالة في Safari تسمح للأصول التي ليست لها أذونات بالوصول إلى محتويات على نظام الملفات. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

    CVE-ID

    CVE-2015-1155: Joe Vennix من Rapid7 Inc. يعمل مع مبادرة Zero Day من HP
     

  • Safari

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى الاستيلاء على الحساب

    الوصف: توجد مشكلة عندما يحافظ Safari على عنوان الطلب الأصلي لعمليات إعادة التوجيه عبر المصدر، مما يسمح لمواقع الويب المتطفلة بالتحايل على وسائل حماية CSRF. تمت معالجة المشكلة عبر المعالجة المحسنة لإعادات التوجيه.

    CVE-ID

    CVE-2015-3658 : Brad Hill من Facebook
  • الأمان

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسبب مخترق عن بعد في إنهاء تطبيق على نحو غير متوقع أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود تجاوز الحد الأقصى لعدد صحيح في رمز إطار الأمان لتوزيع البريد الإلكتروني S/MIME وبعض الكائنات الموقعة أو المشفرة الأخرى. تمت معالجة هذه المشكلة عبر الفحص المحسّن للصلاحية.

    CVE-ID

    CVE-2013-1741

  • SQLite

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتسبب مخترق عن بعد في إنهاء تطبيق على نحو غير متوقع أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود العديد من تجاوزات المخازن المؤقتة في تنفيذ printf من SQLite. تمت معالجة هذه المشكلات عبر الفحص المحسن للحدود.

    CVE-ID

    CVE-2015-3717 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • SQLite

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يسمح أمر SQL متطفّل بالإنهاء غير المتوقّع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وُجدت مشكلة متعلقة بواجهة برمجة التطبيقات API في وظيفة SQLite. وقد تمّ التصدي لهذه المشكلة عبر القيود المحسنّة.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar، أحد أعضاء مبادرة Zero Day من HP

  • Telephony

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي بطاقات SIM متطفلة إلى تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود العديد من عمليات التحقق من الإدخال أثناء توزيع حمولات SIM/UIM. تمت معالجة هذه المشكلات عبر التحقق المحسن من صحة الحمولة.

    CVE-ID

    CVE-2015-3726 : Matt Spisak من Endgame

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل عن طريق النقر فوق ارتباط إلى انتحال واجهة المستخدم

    الوصف: وجود مشكلة في معالجة السمة 'rel' في عناصر الإرساء. قد تتمكن الكائنات الهدف من الوصول غير المصرح به لكائنات الارتباط. تمت معالجة هذه المشكلة عبر تحسين الالتزام بنوع الارتباط.

    CVE-ID

    CVE-2015-1156: Zachary Durber من Moodle
  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود العديد من مشكلات تلف الذاكرة في WebKit. تمت معالجة هذه المشكلات عبر التعامل المحسّن للذاكرة.

    CVE-ID

    CVE-2015-1152: Apple

    CVE-2015-1153: Apple

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد تؤدي زيارة صفحة ويب متطفلة إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمات برمجية تحكمية

    الوصف: وجود مشكلة تتعلق بمقارنة غير كافية في SQLite authorizer مما يسمح بالاستدعاء الإجباري لوظائف SQL. تمت معالجة هذه المشكلة عبر الفحص المحسّن للاعتماد.

    CVE-ID

    CVE-2015-3659 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • WebKit

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد يتمكن موقع ويب متطفل من الوصول إلى قواعد بيانات WebSQL لمواقع الويب الأخرى

    الوصف: وجود مشكلة عمليات التحقق من الاعتماد لجداول WebSQL مما قد يؤدي إلى وصول موقع ويب متطفل إلى قواعد البيانات المنتمية لمواقع ويب أخرى. تمت معالجة هذا الأمر عبر الفحص المحسّن للاعتماد.

    CVE-ID

    CVE-2015-3727 : Peter Rutenbar يعمل مع Zero Day Initiative لدى HP

  • اتصال WiFi

    متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

    التأثير: قد ترتبط الأجهزة التي تعمل بنظام تشغيل iOS بنقاط وصول غير موثوقة التي تعلن عن معرف ESSID معروف ولكن بمستوى أمان منخفض

    الوصف: وجود مشكلة تتعلق بمقارنة غير كافية في تقييم مدير شبكة WiFi لإعلانات نقاط الوصول المعروفة. تمت معالجة هذه المشكلة عبر تحسين المواءمة بين معلمات الأمان.

    CVE-ID

    CVE-2015-3728 : Brian W. Gray من Carnegie Mellon University، Craig Young من TripWire

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: