نبذة حول محتوى أمان iOS 13.4 وiPadOS 13.4
يتناول هذا المستند محتوى أمان iOS 13.4 وiPadOS 13.4.
حول تحديثات أمان Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.
تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.
iOS 13.4 وiPadOS 13.4
الحسابات
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية
الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.
CVE-2020-9772: Allison Husain من UC Berkeley
ActionKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن أحد التطبيقات من استخدام عميل SSH مُقدَّم من إطارات عمل خاصة
الوصف: تمت معالجة هذه المشكلة عبر استحقاق جديد.
CVE-2020-3917:Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن أحد التطبيقات من استخدام استحقاقات عشوائية
الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.
CVE-2020-3883: Linus Henze (pinauten.de)
Bluetooth
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من اعتراض حركة مرور Bluetooth
الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.
CVE-2020-9770: Jianliang Wu من PurSec Lab التابع لـ Purdue University، Xinwen Fu وYue Zhang من University of Central Florida
CoreFoundation
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات
الوصف: وجدت مشكلة تتعلق بالأذونات. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.
CVE-2020-3913: Timo Christ من Avira Operations GmbH & Co. KG
الأيقونات
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يؤدي إعداد أيقونة تطبيق جديدة إلى كشف صورة دون الحاجة إلى إذن للوصول إلى الصور
الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
معالجة الصور
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2020-3919: Alex Plaskett من F-Secure Consulting
Kernel
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة
الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2020-3914: pattern-f (@pattern_F_) من WaCai
Kernel
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال الإدارة المحسّنة للحالة.
CVE-2020-9785: Proteas من فريق Qihoo 360 Nirvan Team
libxml2
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: مشاكل متعددة في libxml2
الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحجم.
CVE-2020-3910: LGTM.com
libxml2
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: مشاكل متعددة في libxml2
الوصف: تمت معالجة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحدود.
CVE-2020-3909: LGTM.com
CVE-2020-3911: وُجدت بواسطة OSS-Fuzz
البريد
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن مستخدم محلي من عرض المحتوى المحذوف في مبدّل التطبيق
الوصف: تمت معالجة المشكلة عن طريق مسح معاينات التطبيق عند حذف المحتوى.
CVE-2020-9780: باحث غير معلوم الهوية، Dimitris Chaintinis
مرفقات البريد
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد لا تتم مشاركة مقاطع الفيديو المقصوصة بشكل صحيح عبر تطبيق "البريد"
الوصف: وجدت مشكلة في اختيار ملف الفيديو من خلال تطبيق "البريد". وقد تمت معالجة المشكلة عن طريق اختيار أحدث إصدار من الفيديو.
CVE-2020-9777
الرسائل
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن شخص لديه إمكانية الوصول الفعلي إلى جهاز iOS مقفول من الرد على الرسائل حتى عند تعطيل الردود
الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.
CVE-2020-3891: Peter Scott
إنشاء رسائل
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يستمر اقتراح مجموعات الرسائل المحذوفة في شكل إكمال تلقائي
الوصف: تمت معالجة المشكلة من خلال الحذف المحسّن.
CVE-2020-3890: باحث غير معلوم الهوية
Safari
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: يمكن حفظ نشاط التصفح الخاص للمستخدم دون قصد في "مدة استخدام الجهاز"
الوصف: وجدت مشكلة في معالجة علامات التبويب التي تعرض الصورة في فيديو الصور. وقد تم تصحيح هذه المشكلة من خلال المعالجة المحسَّنة للحالة.
CVE-2020-9775: Andrian (@retroplasma) وMarat Turaev وMarek Wawro (futurefinance.com) وSambor Wawro من STO64 School Krakow Poland
Safari
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يمنح أحد المستخدمين أذونات موقع الويب إلى موقع دون قصد
الوصف: تمت معالجة هذه المشكلة عن طريق مسح مطالبات أذونات موقع الويب بعد التصفح.
CVE-2020-9781: Nikhil Mittal (@c0d3G33k) من Payatu Labs (payatu.com)
وضع الحماية
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم
الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.
CVE-2020-3918: باحث غير معلوم الهوية وAugusto Alvarez من Outcourse Limited
تطبيق الويب
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تتداخل صفحة متطفلة مع سياقات الويب الأخرى
الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.
CVE-2020-3888: Darren Jones من Dappological Ltd.
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد لا تظهر بعض مواقع الويب في "تفضيلات" في Safari
الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2020-3894: Sergei Glazunov من Google Project Zero
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2020-3899: وُجدت بواسطة OSS-Fuzz
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تؤدي معالجة محتوى ويب متطفل إلى التعرض لهجوم البرمجة النصية بين المواقع
الوصف: تمت معالجة مشكلة متعلقة بالتحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال.
CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao بالاشتراك مع ADLab من Venustech
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتم ربط أصل التنزيل بشكل غير صحيح
الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.
CVE-2020-3887: Ryan Pickren (ryanpickren.com)
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية
الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.
CVE-2020-9783: Apple
WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2020-3897: Brendan Draper (@6r3nd4n) بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro
تحميل صفحة WebKit
متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Air 2 والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch الجيل السابع
التأثير: قد تتم معالجة عنوان URL خاص بالملف بشكل غير صحيح
الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.
CVE-2020-3885: Ryan Pickren (ryanpickren.com)
تقدير آخر
4FontParser
يسعدنا أن نتقدم بخالص الشكر إلى Matthew Denton من Google Chrome على تقديم المساعدة لنا.
Kernel
يسعدنا أن نتقدم بخالص الشكر إلى Siguza على تقديم المساعدة لنا.
LinkPresentation
يسعدنا أن نتقدم بخالص الشكر إلى Travis على تقديم المساعدة لنا.
ملاحظات
يسعدنا أن نتقدم بخالص الشكر إلى Mike DiLoreto على تقديم المساعدة لنا.
rapportd
يسعدنا أن نتوجّه بخالص الشكر إلى Alexander Heinrich (@Sn0wfreeze) من Technische Universität Darmstadt على المساعدة.
قارئ Safari
يسعدنا أن نتوجّه بخالص الشكر إلى Nikhil Mittal (@c0d3G33k) من Payatu Labs (payatu.com) على مساعدته.
Sidecar
يسعدنا أن نتوجّه بخالص الشكر إلى Rick Backley (@rback_sec) على المساعدة.
SiriKit
يسعدنا أن نتوجه بخالص الشكر إلى Ioan Florescu وKi Ha Nam على تقديم المساعدة لنا.
WebKit
يسعدنا أن نتوجه بخالص الشكر إلى Emilio Cobos Álvarez من Mozilla وSamuel Groß من Google Project Zero، hearmen على المساعدة.
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.