نبذة حول محتوى أمان macOS High Sierra 10.13.1 وتحديث الأمان ‎2017-001 Sierra وتحديث الأمان ‎2017-004 El Capitan

يتناول هذا المستند محتوى أمان macOS High Sierra 10.13.1 وتحديث الأمان ‎2017-001 Sierra‎ وتحديث الأمان ‎2017-004 El Capitan‎.

حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

macOS High Sierra 10.13.1 وتحديث الأمان ‎2017-001 Sierra‎ وتحديث الأمان ‎2017-004 El Capitan‎

تاريخ الإصدار: 31 أكتوبر 2017

‎802.1X‎

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن مخترق من استغلال ضعف TLS 1.0

الوصف: تمت معالجة مشكلة أمان البروتوكول من خلال تمكين TLS 1.1 وTLS 1.2.

CVE-2017-13832: باحث غير معلوم الهوية

apache

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: وجدت عدة مشاكل في Apache

الوصف: تمت معالجة العديد من المشاكل من خلال التحديث إلى الإصدار 2.4.27.

CVE-2016-736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

APFS

متوفر لما يلي: macOS High Sierra 10.13

التأثير: قد يتمكّن محول Thunderbolt ضار من استعادة بيانات بنظام ملفات APFS مشفر

الوصف: وجدت مشكلة أثناء معالجة DMA. وقد تمت معالجة هذه المشكلة بتقييد الوقت الذي تستخدمه المخازن المؤقتة لفك تشفير FileVault من خلال ربط DMA بمدة تشغيل وحدة الإدخال/الإخراج.

CVE-2017-13786: باحث غير معلوم الهوية

APFS

متوفر لما يلي: macOS High Sierra 10.13

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13800:‏ Sergej Schumilo من Ruhr-University Bochum

AppleScript

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يؤدي التحويل البرمجي لـ AppleScript باستخدام أمر osadecompile إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2017-13809: باحث غير معلوم الهوية، باحث غير معلوم الهوية

ATS

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-13820:‏ John Villamil،‏ Doyensec

الصوت

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد يؤدي تحليل ملف QuickTime متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13807:‏ ‎Yangkang (@dnpushme)‎ من فريق Qihoo 360 Qex Team

CFString

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2017-13821:‏ ‎Australian Cyber Security Centre – Australian Signals Directorate‎

CoreText

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13825:‏ ‎Australian Cyber Security Centre – Australian Signals Directorate‎

curl

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يؤدي التحميل باستخدام TFTP إلى عنوان URL متطفل من خلال libcurl إلى قراءة ذاكرة مقيّدة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2017-1000100:‏ Even Rouault، وُجدت بواسطة OSS-Fuzz

curl

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد تؤدي معالجة عنوان URL متطفل من خلال libcurl إلى إنهاء التطبيق بشكل غير متوقع أو قراءة ذاكرة العملية

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2017-1000101:‏ Brian Carpenter،‏ Yongji Ouyang

أداة القاموس

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يؤدي البحث في النص الذي تم لصقه في أداة القاموس إلى كشف معلومات المستخدم

الوصف: وجدت مشكلة متعلقة بالتحقق تتيح الوصول غلى ملف محلي. وقد تمت معالجة هذه المشكلة من الإبراء الخاص بالإدخال

CVE-2017-13801:‏ xisigr من ‎Tencent's Xuanwu Lab (tencent.com)‎

file

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: وجدت عدة مشاكل في file

الوصف: تمت معالجة العديد من المشاكل من خلال التحديث إلى الإصدار 5.31.

CVE-2017-13815

الخطوط

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد تؤدي معالجة نص غير موثوق إلى التضليل

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المحسّنة للحالة.

CVE-2017-13828: باحث غير معلوم الهوية

fsck_msdos

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13811: باحث غير معلوم الهوية

HFS

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13830:‏ Sergej Schumilo من Ruhr-University Bochum

Heimdal

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من انتحال صفة إحدى الخدمات

الوصف: وجدت مشكلة تتعلق بالتحقق من الصحة أثناء التعامل مع اسم خدمة KDC-REP. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-11103:‏ Jeffrey Altman وViktor Duchovni وNico Williams

عارض المساعدة

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتسبب ملف HTML في تنفيذ تعليمة برمجية عشوائية لـ JavaScript عبر الأصل

الوصف: وجدت مشكلة نصوص برمجية عبر الموقع في عارض المساعدة. وقد تمت معالجة هذه المشكلة من خلال إزالة الملف المتضرر.

CVE-2017-13819: باحث غير معلوم الهوية

ImageIO

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-13814:‏ ‎Australian Cyber Security Centre – Australian Signals Directorate‎

ImageIO

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد تؤدي معالجة صورة متطفلة إلى رفض الخدمة

التأثير: وجود مشكلة كشف عن المعلومات في معالجة صور القرص. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-13831: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن مستخدم محلي من تسريب معلومات حساسة خاصة بالمستخدم

الوصف: وجدت مشكلة تتعلق بالأذونات في عدادات حزم kernel. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.

CVE-2017-13810: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكّن المستخدم المحلي من قراءة ذاكرة kernel

الوصف: وجدت مشكلة قراءة غير مسموح بها أدت إلى الكشف عن محتوى ذاكرة kernel. تمت معالجة ذلك من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-13817:‏ ‎Maxime Villard (m00nbsd)‎

Kernel

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2017-13818:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

CVE-2017-13836: باحث غير معلوم الهوية، باحث غير معلوم الهوية

CVE-2017-13841: باحث غير معلوم الهوية

CVE-2017-13840: باحث غير معلوم الهوية

CVE-2017-13842: باحث غير معلوم الهوية

CVE-2017-13782: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13843: باحث غير معلوم الهوية، باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد تؤدي معالجة ملف ثنائي غير منتظم في وضع النقل غير المتزامن القياسي إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن.

CVE-2017-13834:‏ ‎Maxime Villard (m00nbsd)‎

Kernel

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13799: باحث غير معلوم الهوية

libarchive

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: يمكن أن يؤدي فك حزمة أرشيف متطفلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13813: وُجدت بواسطة OSS-Fuzz

CVE-2017-13816: وُجدت بواسطة OSS-Fuzz

libarchive

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: يمكن أن يؤدي فك حزمة أرشيف متطفلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت العديد من مشاكل تلف الذاكرة في libarchive. تمت معالجة هذه المشاكل من خلال التحقق المحسن من صحة الإدخال.

CVE-2017-13812: وُجدت بواسطة OSS-Fuzz

libarchive

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2016-4736: باحث غير معلوم الهوية

بنية برمجة نصية مفتوحة

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يؤدي التحويل البرمجي لـ AppleScript باستخدام أمر osadecompile إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13824: باحث غير معلوم الهوية

PCRE

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: وجدت عدة مشاكل في pcre

الوصف: تمت معالجة العديد من المشاكل من خلال التحديث إلى الإصدار 8.40.

CVE-2017-13846

Postfix

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: وجدت عدة مشاكل في Postfix

الوصف: تمت معالجة العديد من المشاكل من خلال التحديث إلى الإصدار 3.2.2.

CVE-2017-13826: باحث غير معلوم الهوية

معاينة سريعة

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2017-13822:‏ ‎Australian Cyber Security Centre – Australian Signals Directorate‎

معاينة سريعة

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يؤدي تحليل مستند Office متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ إجباري للرمز

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-7132:‏ ‎Australian Cyber Security Centre – Australian Signals Directorate‎

QuickTime

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2017-13823: باحث غير معلوم الهوية

الإدارة عن بُعد

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13808: باحث غير معلوم الهوية

وضع الحماية

متوفر لما يلي: macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-13838: باحث غير معلوم الهوية

StreamingZip

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يتمكن ملف zip ضار من تعديل مناطق مقيدة في نظام الملفات

الوصف: تمت معالجة مشكلة التعامل مع المسار من خلال التحقق المحسّن.

CVE-2017-13804:‏ ‎@qwertyoruiopz من KJC Research Intl.‎ S.R.L.‎

tcpdump

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6

التأثير: وجدت عدة مشاكل في tcpdump

الوصف: تمت معالجة العديد من المشاكل من خلال التحديث إلى الإصدار 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

متوفر لما يلي: macOS High Sierra 10.13،‏ macOS Sierra 10.12.6،‏ OS X El Capitan 10.11.6

التأثير: قد يمكن مخترق في نطاق شبكة Wi-Fi من فرض إعادة استخدام عملاء WPA في الوقت الحاضر (هجوم إعادة تثبيت المفتاح - KRACK)

الوصف: وجدت مشكلة منطقية في التعامل مع إبدال الحالة. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2017-13077:‏ Mathy Vanhoef من مجموعة imec-DistriNet بجامعة KU Leuven

CVE-2017-13078:‏ Mathy Vanhoef من مجموعة imec-DistriNet بجامعة KU Leuven

CVE-2017-13080:‏ Mathy Vanhoef من مجموعة imec-DistriNet بجامعة KU Leuven

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: