نبذة حول محتوى أمان نظام التشغيل iOS 9.3.3

يتناول هذا المستند محتوى أمان نظام التشغيل iOS 9.3.3.

حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

iOS 9.3.3

تاريخ الإصدار: 18 يوليو 2016

تقويم

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تتسبب دعوة تقويم متطفلة في إعادة تشغيل الجهاز فجأة

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الذاكرة.

CVE-2016-4605‏: Henry Feldman MD من مركز Beth Israel Deaconess Medical Center

بيانات اعتماد CFNetwork

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة

الوصف: وجدت مشكلة في الرجوع إلى إصدار سابق فيما يتعلق ببيانات اعتماد مصادقة HTTP التي تم حفظها في سلسلة المفاتيح. وقد تمت معالجة هذه المشكلة عن طريق تخزين أنواع المصادقة باستخدام بيانات الاعتماد.

CVE-2016-4644‏: Jerry Decime، من خلال التنسيق عبر CERT

CFNetwork Proxies

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة

الوصف: وجدت مشكلة في التحقق من الصحة أثناء تحليل ردود 407. تم التصدي لهذه المشكلة عبر التحقق المحسّن من صحة الرّدّ.

CVE-2016-4643‏: Xiaofeng Zheng من فريق Blue Lotus Team بجامعة Tsinghua University، وJerry Decime، من خلال التنسيق عبر CERT

CFNetwork Proxies

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يقوم أحد التطبيقات دون قصد بإرسال كلمة مرور غير مشفرة عبر الشبكة

الوصف: قامت مصادقة الوكيل بالإبلاغ الخاطئ بأن وكلاء HTTP استقبلوا بيانات الاعتماد بأمان. وقد تم التصدي لهذه المشكلة عبر التحذيرات المحسّنة.

CVE-2016-4642‏: Jerry Decime، من خلال التنسيق عبر CERT

CoreGraphics

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4637:‏ Tyler Bohan من Cisco Talos‏ (talosintel.com/vulnerability-reports)

FaceTime

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكن مخترق يتمتع بموقع مميز في الشبكة من التسبب في استمرار نقل صوت مكالمة مُرحّلة مع الظهور كما لو كانت المكاملة قد انتهت

الوصف: وجدت حالات عدم اتساق في واجهة المستخدم أثناء معالجة المكالمات المرحّلة. تمت معالجة هذه المشكلة من خلال منطق عرض FaceTime المحسّن.

CVE-2016-4635:‏ Martin Vigo

GasGauge

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: وجود مشكلة تلف الذاكرة في kernel. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

CVE-2016-7576:‏ qwertyoruiop

تاريخ إضافة الإدخال: 27 سبتمبر 2016

ImageIO

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4632:‏ Evgeny Sidorov من Yandex

ImageIO

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4631:‏ Tyler Bohan من Cisco Talos‏ (talosintel.com/vulnerability-reports)

ImageIO

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-7705:‏ Craig Young من Tripwire VERT

تاريخ إضافة الإدخال: 30 نوفمبر 2017

IOAcceleratorFamily

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن المستخدم المحلي من قراءة ذاكرة kernel

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2016-4628:‏ Ju Zhu من Trend Micro

IOAcceleratorFamily

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الصحة.

CVE-2016-4627:‏ Ju Zhu من Trend Micro

IOHIDFamily

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.

CVE-2016-4626:‏ Stefan Esser من SektionEins

Kernel

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-1863:‏ Ian Beer من Google Project Zero

CVE-2016-4653:‏ Ju Zhu من Trend Micro

CVE-2016-4582:‏ Shrek_wzw وProteas من فريق Qihoo 360 Nirvan Team

Kernel

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.

CVE-2016-1865:‏ CESG، وMarco Grassi (@marcograss)‎ من KeenLab (@keen_lab)‎، ‏Tencent

Libc

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: وجد تجاوز في ذاكرة التخزين المؤقت ضمن وظيفة "link_ntoa()‎" في linkaddr.c.‎ وقد تمت معالجة هذه المشكلة عبر الفحص الإضافي للحدود.

CVE-2016-6559:‏ Apple

تمت إضافة الإدخال في 10 يناير، 2017

libxml2

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: العديد من الثغرات الأمنية في libxml2

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2015-8317 : Hanno Boeck

CVE-2016-1836:‏ Wei Lei وLiu Yang من جامعة Nanyang Technological University

CVE-2016-4447:‏ Wei Lei وLiu Yang من جامعة Nanyang Technological University

CVE-2016-4448:‏ Apple

CVE-2016-4483:‏ Gustavo Grieco

CVE-2016-4614:‏ Nick Wellnhofer

CVE-2016-4615:‏ Nick Wellnhofer

CVE-2016-4616:‏ Michael Paddon

تم تحديث المشاركة بتاريخ 4 يونيو 2017

libxml2

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يؤدي تحليل مستند XML متطفّل إلى الكشف عن معلومات مستخدم

الوصف: وجدت مشكلة تتعلق بالوصول أثناء تحليل ملفات XML متطفلة. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-4449:‏ Kostya Serebryany

libxslt

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: وجدت العديد من الثغرات الأمنية في libxslt

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-1683:‏ Nicolas Grégoire

CVE-2016-1684:‏ Nicolas Grégoire

CVE-2016-4607:‏ Nick Wellnhofer

CVE-2016-4608:‏ Nicolas Grégoire

CVE-2016-4609:‏ Nick Wellnhofer

CVE-2016-4610:‏ Nick Wellnhofer

تاريخ تحديث الإدخال: 11 أبريل 2017

Safari

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى التحايل على واجهة المستخدم

الوصف: من الممكن أن تكون إعادة توجيه الرّدود إلى منافذ غير صالحة قد سمحت لموقع ويب متطفل بعرض نطاق عشوائي أثناء عرض المحتوى العشوائي. تمت معالجة هذه المشكلة من خلال منطق عرض عنوان URL المحسّن.

CVE-2016-4604:‏ xisigr من Tencent's Xuanwu Lab (www.tencent.com)‎

ملفات تعريف وضع الحماية

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكن تطبيق محلي من الدخول إلى قائمة العمليات

الوصف: وجود مشكلة في الوصول لدى استدعاءات واجهة برمجة التطبيقات API المميزة. تمت معالجة هذه المشكلة من خلال القيود الإضافية.

CVE-2016-4594:‏ Stefan Esser من SektionEins

جهات اتصال Siri

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد يتمكن شخص لديه إمكانية الوصول الفعلي إلى جهاز من الاطلاع على معلومات الاتصال الخاصة

الوصف: وجدت مشكلة متعلقة بالخصوصية أثناء معالجة بطاقات جهات الاتصال. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

CVE-2016-4593:‏ Pedro Pinheiro (facebook.com/pedro.pinheiro.1996)‎

وسائط الويب

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: تؤدي مشاهدة فيديو في Safari في وضع التصفح الخاص إلى عرض عنوان URL للفيديو خارج وضع التصفح الخاص

الوصف: وجدت مشكلة متعلقة بالخصوصية أثناء معالجة بيانات المستخدم بواسطة وحدة تحكم عرض Safari. تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.

CVE-2016-4603:‏ Brian Porter (@portex33)‎

WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد ينتج عن زيارة أحد المواقع المتطفلة الكشف عن ذاكرة العملية

الوصف: تمت معالجة مشكلة تهيئة الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4587:‏ Apple

WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب ضار إلى الكشف عن بيانات صورة من موقع ويب آخر

الوصف: وجدت مشكلة في التوقيت أثناء معالجة SVG. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2016-4583:‏ Roeland Krak

WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تسريب بيانات حساسة

الوصف: وجدت مشكلة تتعلق بالأذونات أثناء معالجة العامل المتغيّر للموقع. وقد تمت معالجة هذه المشكلة عبر عمليات التحقق الإضافية من الملكية.

CVE-2016-4591:‏ ma.la من LINE Corporation

WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4589:‏ Tongbo Luo وBo Qu من Palo Alto Networks

CVE-2016-4622:‏ Samuel Gross يعمل مع مبادرة Zero Day Initiative من Trend Micro

CVE-2016-4623:‏ Apple

CVE-2016-4624:‏ Apple

WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى التحايل على واجهة المستخدم

الوصف: وجدت مشكلة وراثة الأصل أثناء تحليل يدور حول عناوين URL. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة أصول الأمان.

CVE-2016-4590:‏ xisigr من Tencent's Xuanwu Lab (www.tencent.com)‎

WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة صفحة ويب متطفلة إلى رفض النظام للخدمة

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4592:‏ Mikhail

WebKit JavaScript Bindings

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ نص برمجي في سياق خدمة بخلاف HTTP

الوصف: وجدت مشكلة تتعلق بالنصوص البرمجية عبر المواقع وعبر البروتوكول (XPXSS) في Safari عند إرسال النماذج إلى خدمات بخلاف HTTP متوافقة مع HTTP/0.9. وقد تمت معالجة هذه المشكلة بتعطيل النصوص البرمجية والمكونات الإضافية التي تم تحميلها عبر HTTP/0.9.

CVE-2016-4651:‏ Obscure

تحميل صفحة WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: ربما يقوم موقع ويب ضار بالتصفية المسبقة لبيانات عبر الأصل

الوصف: وجدت مشكلة نصوص برمجية عبر الموقع أثناء إعادة توجيه عنوان URL في Safari. تمت معالجة هذه المشكلة عبر التحقق المحسّن من عنوان URL عند إعادة التوجيه.

CVE-2016-4585:‏ Takeshi Terada من Mitsui Bussan Secure Directions, Inc. (www.mbsd.jp)‎

تحميل صفحة WebKit

متوفر لأجهزة: iPhone 4s والإصدارات الأحدث، وiPod touch (الجيل الخامس) والإصدارات الأحدث، وiPad 2 والإصدارات الأحدث

التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-4584:‏ Chris Vienneau

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: