نبذة حول محتوى أمان macOS Sierra 10.12.4، وتحديث الأمان ‎2017-001 El Capitan، وتحديث الأمان ‎2017-001 Yosemite

يتناول هذا المستند محتوى أمان نظام التشغيل macOS Sierra 10.12.4، وتحديث الأمان ‎2017-001 El Capitan، وتحديث الأمان ‎2017-001 Yosemite.

معلومات حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير اتصالاتك مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

نظام التشغيل macOS Sierra 10.12.4، وتحديث الأمان ‎2017-001 El Capitan، وتحديث الأمان ‎‎2017-001 Yosemite

تم الإصدار في 27 مارس 2017

apache

متوفر لما يلي: macOS Sierra 10.12.3

الأثر: قد يتمكن مخترق عن بُعد من التسبب في رفض الخدمة

الوصف: وجدت عدة مشاكل في إصدارات Apache الأقدم من 2.4.25. وقد تمت معالجة هذه المشاكل بتحديث Apache إلى الإصدار 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

تم تحديث الإدخال في 28 مارس 2017

apache_mod_php

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: وجدت عدة مشاكل في إصدارات PHP التي تسبق 5.6.30

الوصف: وُجدت عدة مشاكل في إصدارات PHP التي تسبق 5.6.30. وقد تمت معالجة هذه المشاكل بتحديث PHP إلى الإصدار 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة حالة تعارض من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2421‏: ‎@cocoahuke

AppleRAID

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2438:‏ sss وAxis من 360Nirvanteam

الصوت

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2430: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

CVE-2017-2462: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

Bluetooth

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2420‏: Pekka Oikarainen وMatias Karhumaa وMarko Laakso من Synopsys Software Integrity Group

Bluetooth

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2427‏: Axis وsss من Qihoo 360 Nirvan Team

Bluetooth

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2449‏: sss وAxis من 360NirvanTeam

Carbon

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملف dfont. متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2017-2379‏: riusksk (泉哥)‎ من Tencent Security Platform Department، وJohn Villamil من Doyensec

CoreGraphics

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة صورة متطفلة إلى رفض الخدمة

الوصف: تمت معالجة مشكلة تتعلق بالتكرار اللانهائي من خلال الإدارة المُحسنة للحالة.

CVE-2017-2417: ‏riusksk (泉哥)‎ من Tencent Security Platform Department

CoreMedia

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملف mov. متطفّل إلى تنفيذ تعليمة برمجية عشوائيًا

الوصف: وُجدت مشكلة تلف في الذاكرة أثناء معالجة ملفات mov. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2431‏: kimyok من Tencent Security Platform Department

CoreText

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2435: ‏John Villamil،‏ Doyensec

CoreText

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2450: ‏John Villamil،‏ Doyensec

CoreText

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة رسالة نصية متطفّلة إلى رفض التطبيق للخدمة

الوصف: تمت معالجة مشكلة استنفاذ المورد من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2461: ‏Isaac Archambault من IDAoADI، باحث غير معلوم الهوية

curl

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يسمح إدخال المستخدم محتوى متطفلاً في libcurl API إلى السماح بتنفيذ تعليمة برمجية عشوائيًا

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.

CVE-2016-9586‏: Daniel Stenberg من Mozilla

EFI

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن محوّل Thunderbolt متطفل من التعرّف على كلمة مرور تشفير FileVault 2

الوصف: وجدت مشكلة أثناء معالجة DMA. وقد تمت معالجة هذه المشكلة عن طريق تمكين VT-d في EFI.

CVE-2016-7585‏: Ulf Frisk (@UlfFrisk)‎

FinderKit

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمّ إعادة تعيين الأذونات على نحو غير متوقع عند إرسال الروابط

الوصف: وجدت مشكلة تتعلق بالأذونات أثناء معالجة ميزة "إرسال الرابط" ضمن "مشاركة iCloud". تمت معالجة هذه المشكلة من خلال عناصر تحكم في الإذن مُحسّنة.

CVE-2017-2429:‏ Raymond Wong DO من Arnot Ogden Medical Center

تاريخ تحديث الإدخال: 23 أغسطس 2017

FontParser

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2487: ‏riusksk (泉哥)‎ من Tencent Security Platform Department

CVE-2017-2406: ‏riusksk (泉哥)‎ من Tencent Security Platform Department

FontParser

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يؤدي تحليل ملف خط متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2407: ‏riusksk (泉哥)‎ من Tencent Security Platform Department

FontParser

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة خط متطفل إلى الكشف عن ذاكرة العملية

الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2439: ‏John Villamil،‏ Doyensec

FontParser

متوفر لما يلي: OS X El Capitan الإصدار 10.11.6 وOS X Yosemite الإصدار 10.10.5

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2016-4688:‏ Simon Huang من شركة Alipay company

تاريخ إضافة الإدخال: 11 أبريل 2017

HTTPProtocol

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن خادم HTTP/2 ضار من التسبب في سلوك غير معروف

الوصف: وجدت عدة مشاكل في إصدارات nghttp1.17.0 التي تسبق 2. وقد تمت معالجة هذه المشاكل بتحديث nghttp2 إلى الإصدار 1.17.0.

CVE-2017-2428

تم تحديث الإدخال في 28 مارس 2017

Hypervisor

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تقوم تطبيقات تستخدم إطار العمل Hypervisor بتسريب سجل التحكم CR8 على نحو غير متوقع بين الضيف والمضيف

الوصف: تمت معالجة مشكلة تتعلق بتسريب المعلومات عبر الإدارة المُحسّنة للحالة.

CVE-2017-2418‏: Alex Fishman وIzik Eidus من Veertu Inc.

iBooks

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يؤدي تحليل ملف iBooks متطفل إلى الكشف عن الملف محليًا

الوصف: وجدت مشكلة تسريب معلومات أثناء معالجة عناوين URL للملفات. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة لعناوين URL.

CVE-2017-2426‏: Craig Arendt من Stratum Security،‏ ‎Jun Kokatsu (@shhnjk)‎

ImageIO

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة صورة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2416: ‏Qidan He (何淇丹, @flanker_hqd)‎ من KeenLab, Tencent

ImageIO

متوفر لما يلي: macOS Sierra الإصدار 10.12.3، وOS X El Capitan الإصدار 10.11.6، وOS X Yosemite الإصدار 10.10.5

التأثير: قد يؤدي عرض ملف JPEG متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2432: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

ImageIO

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملف متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2467

ImageIO

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة صورة متطفلة إلى إنهاء التطبيق بشكل غير متوقع

الوصف: وجدت مشكلة تتعلق بقراءة غير مسموح بها في إصدارات LibTIFF قبل الإصدار 4.0.7. وتمت معالجة هذه المشكلة من خلال تحديث LibTIFF في ImageIO إلى الإصدار 4.0.7.

CVE-2016-3619

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2443‏: Ian Beer من Google Project Zero

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن أحد التطبيقات من الكشف عن ذاكرة kernel

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2017-2489:‏ Ian Beer من Google Project Zero

تمت إضافة الإدخال في 31 مارس 2017

IOATAFamily

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2408:‏ Yangkang (@dnpushme)‎ من فريق Qihoo360 Qex Team

IOFireWireAVC

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2436‏: Orr A، من IBM Security

IOFireWireAVC

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن مخترق محلي من تنفيذ تعليمة برمجية عشوائيًا باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2437:‏ Benjamin Gnahm (@mitp0sh)‎ من Blue Frost Security

IOFireWireFamily

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.

CVE-2017-2388‏: Brandon Azad، باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2398: ‏Lufeng Li من فريق Qihoo 360 Vulcan Team

CVE-2017-2401: ‏Lufeng Li من فريق Qihoo 360 Vulcan Team

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: توجد مشكلة تحقق من الإدخال في kernel. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2410‏: Apple

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تتعلق بتجاوز عدد صحيح من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2440: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة مشكلة حالة تعارض من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2456: ‏lokihardt من Google Project Zero

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2472: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2473: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة الخطأ "off-by-one" من خلال التحقق المحسّن من الحدود.

CVE-2017-2474: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة حالة تعارض من خلال القفل المحسن.

CVE-2017-2478: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2482: ‏Ian Beer من Google Project Zero

CVE-2017-2483: ‏Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام الامتيازات الكاملة

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2490:‏ Ian Beer من Google Project Zero وThe UK's National Cyber Security Centre (‏NCSC)

تمت إضافة الإدخال في 31 مارس 2017

Kernel

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تظل الشاشة غير مقفلة بشكل غير متوقع عند إغلاق الغطاء

الوصف: تمت معالجة مشكلة تتعلق بعدم كفاية القفل عبر الإدارة المحسّنة للحالة.

CVE-2017-7070:‏ Ed McKenzie

تاريخ إضافة الإدخال: 10 أغسطس 2017

لوحات المفاتيح

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.

CVE-2017-2458: ‏Shashank (@cyberboyIndia)‎

سلسلة المفاتيح

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يستطيع مخترق بإمكانه اعتراض اتصالات TLS قراءة أسرار محمية بسلسلة مفاتيح iCloud.

الوصف: فشلت سلسلة مفاتيح iCloud في بعض الحالات في التحقق من صحة حزم OTR. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.

CVE-2017-2448: ‏Alex Radocea من Longterm Security, Inc.

تم تحديث الإدخال في 30 مارس 2017

libarchive

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن مهاجم محلي من تغيير أذونات نظام الملف على دلائل عشوائية

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.

CVE-2017-2390: ‏Omer Medan من enSilo Ltd

libc++abi

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يؤدي إبطال تطبيق ‎C++‎ ضار إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2441

LibreSSL

متوفر لما يلي: macOS Sierra 10.12.3 وOS X El Capitan الإصدار 10.11.6

التأثير: قد يتمكن مستخدم محلي من تسريب معلومات حساسة خاصة بالمستخدم

الوصف: سمحت قناة جانبية زمنية لأحد المخترقين بالكشف عن المفاتيح. تمت معالجة هذه المشكلة من خلال تقديم حسابات ثابتة زمنيًا.

CVE-2016-7056:‏ Cesar Pereida García وBilly Brumley ‏(جامعة تامبيري للتكنولوجيا)

libxslt

متوفر لما يلي: الإصدار 10.11.6 من نظام التشغيل OS X El Capitan

التأثير: وجدت العديد من الثغرات الأمنية في libxslt

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2477

تاريخ إضافة الإدخال: 30 مارس 2017

libxslt

متوفر لما يلي: macOS Sierra الإصدار 10.12.3 وOS X El Capitan الإصدار 10.11.6 وYosemite الإصدار 10.10.5

التأثير: وجدت العديد من الثغرات الأمنية في libxslt

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-5029:‏ Holger Fuhrmannek

تمت إضافة الإدخال في 28 مارس 2017

MCX Client

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد لا تؤدي إزالة ملف تعريف تكوين محمل بأعباء متعددة إلى إزالة الوثوق في شهادة Active Directory

الوصف: وجدت مشكلة في إزالة تثبيت ملف التعريف. تمت معالجة هذه المشكلة من خلال التنظيف المحسّن.

CVE-2017-2402: باحث غير معلوم الهوية

Menus

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن أحد التطبيقات من الكشف عن ذاكرة المعالجة

الوصف: تمت معالجة القراءة المتجاوزة للحدود من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2409‏: Sergey Bylokhov

Multi-Touch

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2422‏: ‎@cocoahuke

OpenSSH

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: وجدت عدة مشاكل في OpenSSH

الوصف: وُجدت عدة مشاكل في إصدارات OpenSSH التي تسبق 7.4. وقد تمت معالجة هذه المشاكل بتحديث OpenSSH إلى الإصدار 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن مستخدم محلي من تسريب معلومات حساسة خاصة بالمستخدم

الوصف: تمت معالجة مشكلة تتعلق بقناة زمنية جانبية عن طريق حسابات ثابتة زمنيًا.

CVE-2016-7056:‏ Cesar Pereida García وBilly Brumley ‏(جامعة تامبيري للتكنولوجيا)

الطباعة

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يؤدي النقر على رابط ‎‎IPP‎(S)‎ متطفل إلى تنفيذ تعليمة برمجية عشوائيًا

الوصف: تمت معالجة مشكلة سلسلة تنسيق غير قابلة للتحكم عبر التحقق المحسن من الإدخال.

CVE-2017-2403:‏ beist من GrayHash

python

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة ملفات أرشيف مضغوطة متطفلة باستخدام Python إلى تنفيذ تعليمة برمجية عشوائيًا

الوصف: وُجدت مشكلة تتعلق بتلف في الذاكرة أثناء معالجة ملفات أرشيف مضغوطة. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-5636

QuickTime

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يؤدي عرض ملف وسائط متطفّل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائيًا

الوصف: وجدت مشكلة تلف ذاكرة في QuickTime. تمّت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.

CVE-2017-2413‏: Simon Huang(@HuangShaomang)‎ وpjf من IceSword Lab ضمن Qihoo 360

الأمان

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد ينجح التحقق من صحة التواقيع الخالية من خلال SecKeyRawVerify()‎ بشكل غير متوقع

الوصف: وجدت مشكلة تتعلق بالتحقق من الصحة مع مكالمات API المشفرة. وتمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة المعلمة.

CVE-2017-2423: باحث غير معلوم الهوية

الأمان

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر

الوصف: تمت معالجة مشكلة تتعلق بتجاوز سعة المخزن المؤقت من خلال التحقق المُحسن من الحدود.

CVE-2017-2451: ‏Alex Radocea من Longterm Security, Inc.

الأمان

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة شهادة x509 متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة تتعلق بتلف ذاكرة في تحليل الشهادات. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2017-2485: ‏Aleksandar Nikolic من Cisco Talos

SecurityFoundation

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة شهادة متطفلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة تحرير المؤشر مرتين من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2425‏: kimyok من قسم Security Platform بشركة Tencent

sudo

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن مستخدم في مجموعة يحمل اسم "admin" من تصعيد الامتيازات فجأة باستخدام برنامج sudo

الوصف: وجدت مشكلة تتعلق بالوصول في sudo. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن للأذونات.

CVE-2017-2381

حماية تكامل النظام

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن تطبيق متطفل من تعديل مواقع محمية في القرص

الوصف: وُجدت مشكلة تتعلق بالتحقق أثناء معالجة تثبيت النظام. وقد تمت معالجة هذه المشكلة عبر المعالجة والتحقق المحسّنين خلال عملية التثبيت.

CVE-2017-6974‏: Patrick Wardle من Synack

tcpdump

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد يتمكن مهاجم له صلاحية متميزة في الشبكة من تنفيذ تعليمات برمجية باستخدام مساعدة المستخدم

الوصف: وُجدت عدة مشاكل في إصدارات tcpdump التي تسبق 4.9.0. وقد تمت معالجة هذه المشاكل بتحديث tcpdump إلى الإصدار 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

متوفر لما يلي: macOS Sierra 10.12.3

التأثير: قد تؤدي معالجة صورة متطفلة إلى إنهاء التطبيق بشكل غير متوقع

الوصف: وجدت مشكلة قراءة خارج النطاق في إصدارات LibTIFF التي تسبق 4.0.7. وقد تمت معالجة هذه المشكلة عن طريق تحديث LibTIFF في AKCmds إلى الإصدار 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4، وتحديث الأمان ‎2017-001 El Capitan، وتحديث الأمان ‎2017-001 Yosemite تنطوي على محتوى أمان Safari 10.1.

تقدير آخر

XNU

يسعدنا أن نتوجّه بخالص الشكر إلى Lufeng Li من فريق Qihoo 360 Vulcan Team على المساعدة.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: