نبذة حول محتوى أمان watchOS 3.2

يوضح هذا المستند محتوى أمان watchOS 3.2.

معلومات حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشكلات الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتمّ إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يُمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير اتصالاتك مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

watchOS 3.2

تاريخ الإصدار: 27 مارس 2017

الصوت

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف صوتي ضار إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2430: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

CVE-2017-2462: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

Carbon

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف dfont. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2017-2379‏: riusksk ‏(泉哥) من قسم Security Platform بشركة Tencent، وJohn Villamil من Doyensec

CoreGraphics

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة صورة متطفلة إلى رفض الخدمة

الوصف: تمت معالجة مشكلة تتعلق بالتكرار اللانهائي من خلال الإدارة المُحسنة للحالة.

CVE-2017-2417: ‏riusksk (泉哥) من Tencent Security Platform Department

CoreGraphics

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشكلات المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2444: ‏Mei Wang من 360 GearTeam

CoreText

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2435: ‏John Villamil،‏ Doyensec

CoreText

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة المتجاوزة للحدود عبر التحقق المحسّن من صحة الإدخال.

CVE-2017-2450: ‏John Villamil،‏ Doyensec

CoreText

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة رسالة نصية متطفّلة إلى رفض التطبيق للخدمة

الوصف: تمت معالجة مشكلة استنفاذ المورد عبر التحقق المحسّن من الإدخال.

CVE-2017-2461: باحث غير معلوم الهوية، Isaac Archambault من IDAoADI

FontParser

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشكلات المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2487: ‏riusksk (泉哥) من Tencent Security Platform Department

CVE-2017-2406: ‏riusksk (泉哥) من Tencent Security Platform Department

FontParser

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يؤدي تحليل ملف خطي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشكلات المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2407: ‏riusksk (泉哥) من Tencent Security Platform Department

FontParser

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة المتجاوزة للحدود عبر التحقق المحسّن من صحة الإدخال.

CVE-2017-2439: ‏John Villamil،‏ Doyensec

HTTPProtocol

متوفر لما يلي: جميع طرز Apple Watch

التأثير: يمكن لخادم HTTP/2 ضار التسبب في سلوك غير محدد

الوصف: وجدت عدة مشكلات في إصدارات nghttp1.17.0 التي تسبق 2. وقد تمت معالجة هذه المشكلات بتحديث nghttp2 إلى الإصدار 1.17.0.

CVE-2017-2428

تم تحديث الإدخال في 28 مارس 2017

ImageIO

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2416: ‏Qidan He (何淇丹, @flanker_hqd) من KeenLab, Tencent

ImageIO

متوفر لما يلي: جميع طرز Apple Watch

التأثير: يُمكن أن يؤدي عرض ملف JPEG ضار إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2432: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

ImageIO

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية تحكمية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2467

ImageIO

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تتسبب معالجة صورة ضارة في إنهاء التطبيق بشكل غير متوقع

الوصف: وجدت مشكلة تتعلق بقراءة غير مسموح بها في إصدارات LibTIFF التي تسبق 4.0.7. وتمت معالجة هذه المشكلة من خلال تحديث LibTIFF في ImageIO إلى الإصدار 4.0.7.

CVE-2016-3619

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2401: ‏Lufeng Li من فريق Qihoo 360 Vulcan Team

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة تجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2440: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة مشكلة حالة تعارض من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2456: ‏lokihardt من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره عبر الإدارة المحسّنة للذاكرة.

CVE-2017-2472: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2473: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت للخطأ من خلال التحقق المحسّن من الحدود.

CVE-2017-2474: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض عبر القفل المحسن.

CVE-2017-2478: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2482: ‏Ian Beer من Google Project Zero

CVE-2017-2483: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام الامتيازات الكاملة

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2490:‏ Ian Beer من Google Project Zero وThe UK's National Cyber Security Centre (NCSC)

تمت إضافة الإدخال بتاريخ 31 مارس 2017

لوحات المفاتيح

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة تجاوز التخزين المؤقت من خلال تحسين التحقق من الحدود.

CVE-2017-2458: ‏Shashank (@cyberboyIndia)

libarchive

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن مهاجم محلي من تغيير أذونات نظام الملف على دلائل عشوائية

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.

CVE-2017-2390: ‏Omer Medan من enSilo Ltd

libc++abi

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يؤدي إبطال تطبيق ‎C++‎ ضار إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره عبر الإدارة المحسّنة للذاكرة.

CVE-2017-2441

libxslt

متوفر لما يلي: جميع طرز Apple Watch

التأثير: وجدت العديد من الثغرات الأمنية في libxslt

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-5029: Holger Fuhrmannek

تمت إضافة الإدخال بتاريخ 28 مارس 2017

الأمان

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة تجاوز التخزين المؤقت من خلال تحسين التحقق من الحدود.

CVE-2017-2451: ‏Alex Radocea من Longterm Security, Inc.‎

الأمان

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة شهادة x509 ضارة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة تتعلق بتلف ذاكرة في تحليل الشهادات. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2485: ‏Aleksandar Nikolic من Cisco Talos

WebKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة خلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2415: ‏Kai Kang من Tencent's Xuanwu Lab ‏(tentcent.com)

WebKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب ضار إلى استهلاك الذاكرة بشدة

الوصف: تمت معالجة مشكلة تتعلق باستهلاك الموارد غير المنضبط من خلال المعالجة المُحسنة لـ regex.

CVE-2016-9643: ‏Gustavo Grieco

WebKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره عبر الإدارة المحسّنة للذاكرة.

CVE-2017-2471: ‏Ivan Fratric من Google Project Zero

تقدير آخر

XNU

يسعدنا أن نتوجّه بخالص الشكر إلى Lufeng Li من فريق Qihoo 360 Vulcan Team على مساعدته لنا.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: