نبذة عن محتوى أمان الإصدار 10.10.4 من OS X Yosemite وتحديث الأمان Security Update 2015-005

يتناول هذا المستند محتوى أمان الإصدار 10.10.4 من OS X Yosemite وتحديث الأمان Security Update 2015-005.

لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple على الويب.

للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.

إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.

للتعرف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.

الإصدار 10.10.4 من OS X Yosemite وتحديث الأمان Security Update 2015-005

  • Admin Framework

    متوفر لما يلي: OS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: يمكن أن تحصل عملية على امتيازات المسؤول دون مصادقة صحيحة

    الوصف: وجود مشكلة عند التحقق من استحقاقات XPC. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الاستحقاق.

    CVE-ID‏

    CVE-2015-3671‏ : Emil Kvarnhammar في TrueSec

  • Admin Framework

    متوفر لما يلي: OS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: يمكن أن يحصل مستخدم غير مسؤول على حقوق مسؤول

    الوصف: وجود مشكلة في معالجة مصادقة المستخدم. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الخطأ.

    CVE-ID‏

    CVE-2015-3672‏ : Emil Kvarnhammar في TrueSec

  • Admin Framework

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: يمكن أن يسيء المخترق استخدام "أداة الدليل" للحصول على امتيازات جذرية

    الوصف: كان من الممكن نقل "أداة الدليل" وتعديلها لتحقيق تنفيذ تعليمات برمجية ضمن عملية مخوّلة. تمت معالجة هذه المشكلة من خلال تقييد موقع القرص الذي ينفذ منه عملاء writeconfig (تهيئة الكتابة).

    CVE-ID‏

    CVE-2015-3673‏ : Patrick Wardle من Synack،‏ Emil Kvarnhammar في TrueSec

  • afpserver

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة تتعلق بتلف الذاكرة في خادم AFP. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3674‏ : Dean Jerkovich من NCC Group

  • apache

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: يمكن أن يتمكّن المخترق من الوصول إلى الدلائل المحمية من خلال مصادقة HTTP دون معرفة بيانات الاعتماد الصحيحة

    الوصف: لا تشمل تهيئة Apache الافتراضية mod_hfs_apple. في حالة تمكين Apache يدويًا ولم يتم تغيير التكوين، فقد تصبح بعض الملفات التي لا ينبغي الوصول إليها متاحة للوصول باستخدام عنوان URL المصمم بشكلٍ خاص. تمت معالجة المشكلة عن طريق تمكين mod_hfs_apple.

    CVE-ID‏

    CVE-2015-3675‏ : Apple

  • apache

    متوفر لما يلي: OS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: وجود العديد من الثغرات الأمنية في PHP، والتي قد يؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من الثغرات الأمنية في إصدارات PHP التي تسبق 5.5.24 و5.4.40. تمت معالجتها عن طريق تحديث PHP إلى الإصدارات 5.5.24 و5.4.40.

    CVE-ID‏

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة في AppleGraphicsControl والتي ربما أدت إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID‏

    CVE-2015-3676 :‏ Chen Liang من KEEN Team

  • AppleFSCompression

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة في ضغط LZVN ربما أدت إلى كشف محتوى ذاكرة kernel. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3677 : باحث غير معلوم الهوية بالتعاون مع مبادرة Zero Day Initiative من HP

  • AppleThunderboltEDMService

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة تتعلق بتلف الذاكرة في معالجة أوامر ثندربولت محددة من العمليات المحلية. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3678‏ : Apple

  • ATS

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف خطوط متطفل ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من مشاكل تلف الذاكرة في معالجة خطوط معينة. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID‏

    CVE-2015-3679‏ : Pawel Wylecial بالتعاون مع مبادرة Zero Day Initiative من HP‏

    CVE-2015-3680‏ : Pawel Wylecial بالتعاون مع مبادرة Zero Day Initiative من HP‏

    CVE-2015-3681‏ : John Villamil (@day6reak)‎،‏ Yahoo Pentest Team‏

    CVE-2015-3682‏ : 魏诺德

  • Bluetooth

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة تلف ذاكرة في واجهة Bluetooth HCI. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3683‏ : Roberto Paleari وAristide Fattori من Emaze Networks

  • Certificate Trust Policy

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من اعتراض حركة مرور الشبكة

    الوصف: تم إصدار شهادة متوسطة بشكلٍ غير صحيح عن طريق CNNIC التابعة لجهة الشهادات. وتمت معالجة المشكلة من خلال إضافة آلية للوثوق فقط في مجموعة فرعية من الشهادات التي أُصدرت قبل إلغاء إصدار المتوسطة. يمكنك معرفة المزيد عن قائمة السماح للثقة الجزئية للأمان.

  • Certificate Trust Policy

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    الوصف: تم تحديث سياسة الوثوق في الشهادات. يمكن عرض القائمة الكاملة للشهادات في OS X Trust Store.

  • CFNetwork HTTPAuthentication

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي متابعة عنوان URL متطفل ضار إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة تتعلق بتلف الذاكرة عند معالجة ببيانات اعتماد عنوان URL محدّدة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3684‏ : Apple

  • CoreText

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف نصي متطفل ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات النصوص. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

    CVE-ID‏

    ‏CVE-2015-1157

    CVE-2015-3685‏ : Apple‏

    CVE-2015-3686‏ : John Villamil (@day6reak)‎،‏ Yahoo Pentest Team‏

    CVE-2015-3687‏ : John Villamil (@day6reak)‎،‏ Yahoo Pentest Team‏

    CVE-2015-3688‏ : John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

    CVE-2015-3689‏ : Apple

  • coreTLS

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة باعتراض اتصالات SSL/TLS

    الوصف: تم قبول مفاتيح Diffie-Hellman (DH)‎ قصيرة وسريعة الزوال بواسطة coreTLS، كالمُستخدَمة في مجموعات تشفير مفاتيح DH عابرة ذات قوة تصدير. تسمح هذه المشكلة، المعروفة أيضًا باسم Logjam، بأن يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة بخفض مستوى الأمان إلى 512 بت DH إذا كان الخادم يدعم مجموعات تشفير مفاتيح DH عابرة ذات قوة تصدير. وتمت معالجة المشكلة من خلال زيادة الحد الأدنى من الحجم الافتراضي المسموح لمفاتيح DH عابرة إلى 768 بت.

    CVE-ID‏

    CVE-2015-4000 : فريق weakdh لدى weakdh.org،‏ Hanno Boeck

  • DiskImages

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة تتعلق بالكشف عن المعلومات في معالجة صور القرص. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3690‏ : Peter Rutenbar بالتعاون مع مبادرة Zero Day Initiative في HP

  • Display Drivers

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة في ملحق kernel الخاص بمجموعة أوامر التحكم في الشاشة التي يمكن من خلالها أن تتحكم معالجة مساحة مستخدم في قيمة مؤشر وظيفة ضمن kernel. تمت معالجة المشكلة عن طريق إزالة الواجهة المتأثرة.

    CVE-ID‏

    CVE-2015-3691‏ : Roberto Paleari وAristide Fattori من Emaze Networks

  • EFI

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: يمكن أن يتمكن تطبيق ضار ذو امتيازات جذرية من تعديل ذاكرة فلاش EFI

    الوصف: وجود مشكلة تتعلق بعدم كفاية القفل في ذاكرة فلاش EFI عند الاستئناف من حالات السكون. تمت معالجة هذه المشكلة عبر القفل المحسن.

    CVE-ID‏

    CVE-2015-3692‏ : Trammell Hudson من Two Sigma Investments،‏ Xeno Kovah وCorey Kallenberg من LegbaCore LLC،‏ Pedro Vilaça

  • EFI

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يؤدي تطبيق ضار إلى تقليل تلف الذاكرة لتصعيد الامتيازات

    الوصف: يوجد خطأ تشويش، يُعرف أيضًا بـ Rowhammer، مع بعض من ذاكرة الوصول العشوائي DDR3 التي يمكن أن تؤدي إلى تلف ذاكرة. تم تخفيض المشكلة عن طريق زيادة معدلات تحديث الذاكرة.

    CVE-ID‏

    CVE-2015-3693‏ : Mark Seaborn وThomas Dullien من Google، يعملان من البحث الأصلي لـ Yoongu Kim وآخرين (2014)

  • FontParser

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف خطوط متطفل ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وُجدت مشكلة تتعلق بتلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

    CVE-ID‏

    CVE-2015-3694‏ : John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

  • Graphics Driver

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود مشكلة تتعلق بالكتابة متجاوزة الحدود في برنامج تشغيل رسومات NVIDIA. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID‏

    CVE-2015-3712‏ : Ian Beer من Google Project Zero

  • Intel Graphics Driver

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: وجود العديد من مشاكل تجاوز سعة المخزن المؤقت في برنامج تشغيل رسومات Intel، التي قد تؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من مشاكل تجاوز سعة المخزن المؤقت في برنامج تشغيل رسومات Intel. تمت معالجة هذه المشاكل من خلال عمليات التحقق من الحدود الإضافية.

    CVE-ID‏

    CVE-2015-3695‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3696‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3697‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3698‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3699‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3700‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3701‏ : Ian Beer من Google Project Zero‏

    CVE-2015-3702‏ : KEEN Team

  • ImageIO

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: وجود العديد من الثغرات الأمنية في libtiff، التي قد يؤدي أشدها خطورة إلى تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من الثغرات الأمنية في إصدارات libtiff الأقدم من 4.0.4. وتمت معالجتها عن طريق تحديث libtiff إلى الإصدار 4.0.4.

    CVE-ID‏

    CVE-2014-8127‏

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف ‎.tiff متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة متعلقة بتلف الذاكرة أثناء معالجة ملفات ‎.tiff. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

    CVE-ID‏

    CVE-2015-3703‏ : Apple

  • Install Framework Legacy

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من المشاكل في كيفية إسقاط ثنائية setuid (تعيين معرّف المستخدم) الخاصة بـ "runner" (مشغل) Install.framework للامتيازات. تمت معالجة المشكلة عبر إسقاط الامتيازات بشكل صحيح.

    CVE-ID‏

    CVE-2015-3704‏ : Ian Beer من Google Project Zero

  • IOAcceleratorFamily

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من مشاكل تلف الذاكرة في IOAcceleratorFamily. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID‏

    CVE-2015-3705‏ : KEEN Team‏

    CVE-2015-3706‏ : KEEN Team

  • IOFireWireFamily

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

    الوصف: وجود العديد من مشاكل عدم المرجعية الصفرية للمؤشر في برنامج تشغيل FireWire. تمت معالجة هذه المشاكل عبر الفحص المحسن للخطأ.

    CVE-ID‏

    CVE-2015-3707‏ : Roberto Paleari وAristide Fattori من Emaze Networks

  • Kernel

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة متعلقة بإدارة الذاكرة في معالجة واجهات برمجة التطبيقات (API) المرتبطة بملحقات kernel والتي يمكن أن تؤدي إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3720‏ : Stefan Esser

  • Kernel

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجدت مشكلة تتعلق بإدارة الذاكرة، أثناء معالجة معلمات HFS، قد تؤدي إلى الكشف عن تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3721‏ : Ian Beer من Google Project Zero

  • kext tools

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن تطبيق ضار من استبدال الملفات العشوائية

    الوصف: اتبع kextd روابط رمزية أثناء إنشاء ملف جديد. تمت معالجة المشكلة من خلال معالجة محسّنة للروابط الرمزية.

    CVE-ID‏

    CVE-2015-3708‏ : Ian Beer من Google Project Zero

  • kext tools

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن مستخدم محلي من تحميل ملحقات kernel غير مُوقّعة

    الوصف: وجود حالة تسابقية "وقت الفحص إلى وقت الاستخدام" (TOCTOU) أثناء التحقق من صحة مسارات ملحقات kernel. تمت معالجة المشكلة من خلال حالات التحقق المحسنة للتحقق من صحة مسار ملحقات kernel.

    CVE-ID‏

    CVE-2015-3709‏ : Ian Beer من Google Project Zero

  • Mail

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يؤدي بريد إلكتروني متطفل إلى استبدال محتوى الرسالة بصفحة ويب عشوائية عند عرض الرسالة

    الوصف: توجد مشكلة في دعم البريد الإلكتروني HTML مما يتيح إعادة تحميل محتوى الرسالة بصفحة ويب عشوائية. وتمت معالجة المشكلة من خلال تقييد الدعم لمحتوى HTML.

    CVE-ID‏

    CVE-2015-3710‏ : Aaron Sigel من vtty.com،‏ Jan Souček

  • ntfs

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

    الوصف: وجود مشكلة في NTFS ربما أدت إلى كشف محتوى ذاكرة kernel. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

    CVE-ID‏

    CVE-2015-3711‏ : Peter Rutenbar بالتعاون مع مبادرة Zero Day Initiative في HP

  • ntp

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات من تنفيذ هجوم رفض الخدمة ضد اثنين من عملاء ntp

    الوصف: وجود العديد من المشاكل في مصادقة حزم ntp التي يتم تلقيها عن طريق نقاط النهاية المكونة. تمت معالجة هذه المشاكل من خلال إدارة حالة اتصال محسّنة.

    CVE-ID‏

    ‏CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: وجود العديد من المشاكل في OpenSSL، بما في ذلك تلك التي تتيح لمخترق مقاطعة حالات الاتصال بأحد الخوادم التي تدعم عمليات التشفير ذات درجة التصدير

    الوصف: وجود العديد من المشاكل في OpenSSL 0.9.8zd، والتي تمت معالجتها عن طريق تحديث OpenSSL إلى الإصدار 0.9.8zf.

    CVE-ID‏

    CVE-2015-0209‏

    CVE-2015-0286‏

    CVE-2015-0287‏

    ‏CVE-2015-0288

    CVE-2015-0289‏

    CVE-2015-0293

  • QuickTime

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف فيلم متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من المشاكل المتعلقة بتلف الذاكرة في QuickTime. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID‏

    CVE-2015-3661‏ : G. Geshev بالتعاون مع مبادرة Zero Day Initiative في HP‏

    CVE-2015-3662‏ : kdot بالتعاون مع مبادرة Zero Day Initiative في HP‏

    CVE-2015-3663‏ : kdot بالتعاون مع مبادرة Zero Day Initiative في HP‏

    CVE-2015-3666‏ : Steven Seeley من Source Incite بالتعاون مع مبادرة Zero Day Initiative في HP‏

    CVE-2015-3667‏ : Ryan Pentney،‏ Richard Johnson من Cisco Talos وKai Lu من FortiGuard Labs في Fortinet‏

    CVE-2015-3668 :‏ Kai Lu من FortiGuard Labs في Fortinet‏

    CVE-2015-3713‏ : Apple

  • Security

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود مشكلة تتعلق بتجاوز العدد الصحيح في التعليمة البرمجية لإطار الأمان Security لتحليل البريد الإلكتروني S/MIME وبعض الكائنات الموقعة أو المشفرة الأخرى. وتمت معالجة هذه المشكلة عبر الفحص المحسّن للتحقق من الصحة.

    CVE-ID‏

    CVE-2013-1741

  • Security

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتعذر منع التطبيقات التي تعرضت للعبث عن التشغيل

    الوصف: قد تكون التطبيقات التي تستخدم قواعد الموارد المخصصة عرضة للعبث الذي لا يبطل صحة التوقيع. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من المورد.

    CVE-ID‏

    CVE-2015-3714‏ : Joshua Pitts من Leviathan Security Group

  • Security

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتمكن تطبيق ضار من تجاوز فحوصات توقيع التعليمات البرمجية

    الوصف: وجود مشكلة حيث يتعذر على توقيع التعليمة البرمجية التحقق من صحة المكتبات التي تم تحميلها خارج حزمة التطبيق. تمت معالجة هذه المشكلة عبر التحقق المحسّن من الحزمة.

    CVE-ID‏

    CVE-2015-3715‏ : Patrick Wardle من Synack

  • Spotlight

    متوفر لما يلي: OS X Mountain Lion الإصدار 10.8.5 وOS X Mavericks الإصدار 10.9.5 وOS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: البحث عن ملف ضار باستخدام الباحث يمكن أن يؤدي إلى تضمين الأوامر

    الوصف: وجود ثغرة أمنية لتضمين أوامر في معالجة أسماء ملفات الصور المضافة إلى مكتبة صور محلية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

    CVE-ID‏

    CVE-2015-3716‏ : Apple

  • SQLite

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجدت العديد من حالات تجاوز المخزن المؤقت في تنفيذ printf الخاص بـ SQLite. وتمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

    CVE-ID‏

    CVE-2015-3717‏ : Peter Rutenbar بالتعاون مع مبادرة Zero Day Initiative في HP

  • SQLite

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يسمح أمر SQL متطفل بإنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وُجدت مشكلة متعلقة بواجهة برمجة التطبيقات (API) في وظيفة SQLite. وقد تم التصدي لهذه المشكلة عبر القيود المحسّنة.

    CVE-ID‏

    CVE-2015-7036‏ : Peter Rutenbar بالتعاون مع مبادرة Zero Day Initiative في HP

  • System Stats

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد يؤدي تطبيق ضار إلى تسوية systemstatsd

    الوصف: وجود مشكلة ارتباك في النوع في معالجة systemstatsd للاتصال ما بين العمليات. عن طريق إرسال رسالة منسقة بشكل ضار إلى systemstatsd، فقد يكون من الممكن تنفيذ التعليمة البرمجية العشوائية كعملية systemstatsd. تمت معالجة المشكلة من خلال التحقق الإضافي من الأنواع.

    CVE-ID‏

    CVE-2015-3718‏ : Roberto Paleari وAristide Fattori من Emaze Networks

  • TrueTypeScaler

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: قد تؤدي معالجة ملف خطوط متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وُجدت مشكلة تتعلق بتلف الذاكرة خلال معالجة ملفات الخطوط. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

    CVE-ID‏

    CVE-2015-3719‏ : John Villamil (@day6reak)‎،‏ Yahoo Pentest Team

  • zip

    متوفر لما يلي: OS X Yosemite الإصدار 10.10 حتى الإصدار 10.10.3

    التأثير: استخراج ملف zip متطفل باستخدام أداة إلغاء الضغط يمكن أن يؤدي إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

    الوصف: وجود العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات zip. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.

    CVE-ID‏

    ‏CVE-2014-8139

    CVE-2014-8140‏

    CVE-2014-8141

يتضمن OS X Yosemite الإصدار 10.10.4 محتوى أمان سفاري 8.0.7.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: