نبذة حول محتوى أمان iOS 14.8 وiPadOS 14.8

يتناول هذا المستند محتوى أمان iOS 14.8 وiPadOS 14.8.

نبذة عن تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

iOS 14.8 وiPadOS 14.8

تاريخ الإصدار: 13 سبتمبر 2021

Apple Neural Engine

متوفر للأجهزة المزودة بـ Apple Neural Engine:‏ iPhone 8 والأحدث، وiPad Pro (الجيل الثالث) والأحدث، وiPad Air (الجيل الثالث) والأحدث، وiPad mini (الجيل الخامس)

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30838:‏ proteas wang

تاريخ إضافة الإدخال: 19 يناير 2022

Bluetooth

متوفر لما يلي: iPhone 6s والإصدارات الأحدث، وiPad Pro (جميع الطرازات)، وiPad Air 2 والإصدارات الأحدث، وiPad الجيل الخامس والإصدارات الأحدث، وiPad mini 4 والإصدارات الأحدث، وiPod touch (الجيل السابع)

التأثير: قد يتمكن مخترق عن بُعد من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30820:‏ Jianjun Dai من Qihoo 360 Alpha Lab

تاريخ إضافة الإدخال: 20 سبتمبر 2021

CoreAudio

التأثير: قد تؤدي معالجة ملف متطفل إلى إفشاء معلومات المستخدم

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2021-30905:‏ Mickey Jin (@patch1t)‎ من Trend Micro

تاريخ إضافة الإدخال: 19 يناير 2022

CoreAudio

التأثير: قد تؤدي معالجة ملف صوتي ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30834:‏ JunDong Xie من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

CoreGraphics

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2021-30928: ‏Mickey Jin (@patch1t)‎ من Trend Micro

تاريخ إضافة الإدخال: 19 يناير 2022

CoreGraphics

التأثير: قد تؤدي معالجة ملف PDF متطفّل إلى تنفيذ تعليمة برمجية عشوائية. Apple على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط.

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2021-30860:‏ The Citizen Lab

CoreServices

متوفر لما يلي: متوفر للأجهزة المزودة بـ Apple Neural Engine:‏ iPhone 8 والأحدث، وiPad Pro (الجيل الثالث) والأحدث، وiPad Air (الجيل الثالث) والأحدث، وiPad mini (الجيل الخامس)

التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30864:‏ ‎Ron Hass (@ronhass7)‎ من Perception Point،‏ ‎Ron Waisberg (@epsilan)‎

تمت إضافة الإدخال في 25 مايو 2022

Core Telephony

التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية. كانت شركة Apple على علم بتقرير يفيد بأن هذه المشكلة ربما تم استغلالها بشكل فعال في وقت الإصدار.

الوصف: تمت معالجة مشكلة تتعلق بإلغاء التسلسل من خلال التحقق المحسّن من الصحة.

CVE-2021-31010: Citizen Lab وGoogle Project Zero

تمت إضافة الإدخال في 25 مايو 2022

FontParser

التأثير: قد تؤدي معالجة ملف dfont متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30841:‏ Xingwei Lin من Ant Security Light-Year Lab

CVE-2021-30843:‏ Xingwei Lin من Ant Security Light-Year Lab

CVE-2021-30842:‏ Xingwei Lin من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 20 سبتمبر 2021

Foundation

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30852:‏ ‎Yinyi Wu (@3ndy1)‎ من Ant Security Light-Year Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

ImageIO

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2021-30847:‏ Mike Zhang من Pangu Lab

تاريخ إضافة الإدخال: 25 أكتوبر 2021

Kernel

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض من خلال القفل المحسن.

CVE-2021-30857: Manish Bhatt من Red Team X @Meta وZweig من Kunlun Lab

تمت إضافة الإدخال في 20 سبتمبر 2021، وتم تحديثه في 25 مايو 2022

Kernel

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة متعلقة بخلط الأنواع من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30859:‏ Apple

تاريخ إضافة الإدخال: 20 سبتمبر 2021

libexpat

الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة

الوصف: تمت معالجة هذه المشكلة من خلال تحديث expat إلى الإصدار 2.4.1.

CVE-2013-0340: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 20 سبتمبر 2021

Preferences

التأثير: قد يتمكن تطبيق من الوصول إلى الملفات المقيدة

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المُحسّن من روابط النظام.

CVE-2021-30855:‏ ‎Zhipeng Huo (@R3dF09)‎ و‎Yuebin Sun (@yuebinsun2020)‎ من ‎Tencent Security Xuanwu Lab (xlab.tencent.com)‎

تاريخ إضافة الإدخال: 20 سبتمبر 2021

Telephony

متوفر لما يلي: iPhone SE (الجيل الأول)، وiPad Pro ‏12.9 بوصة، وiPad Air 2، وiPad (الجيل الخامس)، وiPad mini 4

التأثير: في حالات معينة، قد يفشل النطاق الأساسي في تمكين حماية التكامل والتشفير

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2021-30826:‏ CheolJun Park وSangwook Bae وBeomSeok Oh من KAIST SysSec Lab

تاريخ إضافة الإدخال: 19 يناير 2022

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بخلط الأنواع من خلال المعالجة المحسَّنة للحالة.

CVE-2021-30818:‏ ‎Amar Menezes (@amarekano)‎ من Zon8Research

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من تجاوز HSTS

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2021-30823:‏ David Gullasch من Recurity Labs

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى قراءة ذاكرة مقيّدة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2021-30836: ‏Peter Nguyen Vu Hoang من STAR Labs

تاريخ إضافة الإدخال: 25 أكتوبر 2021

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية. Apple على علم بتقرير يفيد بأنه قد تم استغلال هذه المشكلة بشكل نشط.

الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.

CVE-2021-30858: باحث غير معلوم الهوية

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30848:‏ Sergei Glazunov من Google Project Zero

تاريخ إضافة الإدخال: 20 سبتمبر 2021

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2021-30849:‏ Sergei Glazunov من Google Project Zero

تاريخ إضافة الإدخال: 20 سبتمبر 2021

WebKit

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2021-30846:‏ Sergei Glazunov من Google Project Zero

تاريخ إضافة الإدخال: 20 سبتمبر 2021

تقدير آخر

CoreML

يسعدنا أن نتوجّه بخالص الشكر إلى hjy79425575 بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro على تقديم المساعدة لنا.

تاريخ إضافة الإدخال: 20 سبتمبر 2021

FaceTime

يسعدنا أن نتوجّه بخالص الشكر إلى Mohammed Waqqas Kakangarai على تقديم المساعدة لنا.

تمت إضافة الإدخال في 25 مايو 2022

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: 02 يونيو 2022