نبذة حول تحديث الأمان 2009-005
يصف هذا المستند تحديث الأمان 2009-005.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
تحديث الأمان 2009-005
Alias Manager
CVE-ID: CVE-2009-2800
متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5.8 وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي فتح ملف اسم مستعار متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز سعة المخزن المؤقت أثناء معالجة الملفات المستعارة. قد يؤدي فتح ملف مستعار متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
CarbonCore
CVE-ID: CVE-2009-2803
متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5.8 وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي فتح ملف باستخدام تفرع موارد متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: توجد مشكلة تلف في الذاكرة أثناء معالجة إدارة الموارد لتشعبات الموارد. قد يؤدي فتح ملف باستخدام تفرع موارد متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن من تشعبات الموارد. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
ClamAV
CVE-ID: CVE-2009-1241, CVE-2009-1270, CVE-2008-6680, CVE-2009-1371, CVE-2009-1372
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: ثغرات أمنية متعددة في ClamAV 0.94.2
الوصف: توجد ثغرات أمنية متعددة في ClamAV 0.94.2، وأخطرها قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلات عن طريق تحديث ClamAV إلى الإصدار 0.95.2. يتم توزيع ClamAV فقط مع أنظمة Mac OS X Server. مزيد من المعلومات متاحة عبر موقع ClamAV على http://www.clamav.net/ لا تؤثر هذه المشكلات على أنظمة Mac OS X الإصدار 10.6.
ColorSync
CVE-ID: CVE-2009-2804
متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي عرض صورة تم إنشاؤها بشكل متطفل مع ملف تعريف مزامنة الألوان مضمن إلى تطبيق غير متوقع الإنهاء أو التنفيذ العشوائي للتعليمات البرمجية
الوصف: يوجد تجاوز لعدد صحيح في معالجة الصور باستخدام ملف تعريف مزامنة الألوان المضمن، مما قد يؤدي إلى تجاوز سعة المخزن المؤقت للمكدس. قد يؤدي فتح صورة تم إنشاؤها بشكل متطفل باستخدام ملف تعريف مزامنة الألوان المضمن إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة عن طريق إجراء التحقق الإضافي من ملفات تعريف مزامنة الألوان. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
CoreGraphics
CVE-ID: CVE-2009-2805
متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5.8 وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي فتح ملف PDF متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: قد يؤدي تجاوز عدد صحيح في معالجة CoreGraphics لملفات PDF إلى تجاوز سعة المخزن المؤقت للمكدس. قد يؤدي فتح ملف PDF يحتوي على تدفق JBIG2 متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. يعود الفضل إلى Will Dormann من CERT/CC للإبلاغ عن هذه المشكلة. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6.
CoreGraphics
CVE-ID: CVE-2009-2468
متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5.8 وMac OS X Server الإصدار 10.5.8
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تجاوز سعة المخزن المؤقت للمكدس في رسم سلاسل نصية طويلة. قد تؤدي زيارة موقع ويب متطفل إلى إنهاء غير متوقع للتطبيق، أو تنفيذ تعليمة برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى Will Drewry من شركة Google Inc. للإبلاغ عن هذه المشكلة.
CUPS
CVE-ID: CVE-2009-0949
متوفر لما يلي: Mac OS X الإصدار 10.4.11، Mac OS X Server الإصدار 10.4.11، Mac OS X الإصدار 10.5.8، Mac OS X Server الإصدار 10.5.8
التأثير: قد يتمكن مهاجم عن بعد من رفض الوصول إلى خدمة مشاركة الطابعةا
لوصف: أ يوجد عدم مرجعية المؤشر الفارغ في CUPS. من خلال إرسال طلبات جدولة متطفلة بشكل متكرر، قد يتمكن مهاجم عن بعد من رفض الوصول إلى خدمة "مشاركة الطابعة". يعالج هذا التحديث المشكلة من خلال التحقق المحسن من صحة طلبات المجدول. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى Anibal Sacco من فريق كتابة ثغرات CORE IMPACT (EWT) في Core Security Technologies للإبلاغ عن هذه المشكلة.
CUPS
CVE-ID: CVE-2009-2807
متوفر لما يلي: Mac OS X الإصدار 10.5.8، Mac OS X Server الإصدار 10.5.8
التأثير: قد يتمكن مستخدم محلي لا يتمتع بامتيازات من الحصول على امتيازات النظام
الوصف: يوجد تجاوز سعة المخزن المؤقت لكومة الذاكرة المؤقتة في الواجهة الخلفية لـ CUPS USB. قد يسمح هذا لمستخدم محلي بالحصول على امتيازات النظام. يعالج هذا التحديث المشكلة من خلال التحقق المحسن للحدود. لا تؤثر هذه المشكلة على الأنظمة التي تسبق أنظمة Mac OS X الإصدار 10.5 أو أنظمة Mac OS X الإصدار 10.6.
Flash Player plug-in
CVE-ID: CVE-2009-1862, CVE-2009-1863, CVE-2009-1864, CVE-2009-1865, CVE-2009-1866, CVE-2009-1867, CVE-2009-1868, CVE-2009-1869, CVE-2009-1870
متوفر لما يلي: Mac OS X الإصدار 10.4.11 وMac OS X Server الإصدار 10.4.11 وMac OS X الإصدار 10.5.8 وMac OS X Server الإصدار 10.5.8
التأثير: ثغرات أمنية متعددة في المكون الإضافي Adobe Flash Player
الوصف: توجد مشكلات متعددة في Adobe المكون الإضافي Flash Player، والذي قد يؤدي أخطره إلى تنفيذ تعليمات برمجية عشوائية عند عرض موقع ويب تم إنشاؤه بشكل متطفل. تمت معالجة المشكلات عن طريق تحديث المكون الإضافي Flash Player على نظام Mac OS الإصدار 10.5.8 إلى الإصدار 10.0.32.18 وإلى الإصدار 9.0.246.0 على أنظمة Mac OS X الإصدار 10.4.11. بالنسبة لأنظمة Mac OS X الإصدار 10.6، تمت معالجة هذه المشكلات في Mac OS X الإصدار 10.6.1. يتوفر مزيد من المعلومات عبر موقع Adobe على الويب على http://www.adobe.com/support/security/bulletins/apsb09-10.html
ImageIO
CVE-ID: CVE-2009-2809
متوفر لما يلي: Mac OS X الإصدار 10.4.11، وMac OS X Server الإصدار 10.4.11، وMac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي عرض صورة TIFF مشفرة من PixarFilm بشكل ضار إلى إنهاء غير متوقع للتطبيق أو تنفيذ التعليمات البرمجية التعسفية
الوصف: توجد مشكلات متعددة تتعلق بتلف الذاكرة في معالجة ImageIO لصور TIFF المشفرة من PixarFilm. قد يؤدي عرض صورة TIFF مشفرة من PixarFilm بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يعالج هذا التحديث المشكلة من خلال التحقق الإضافي من صحة صور TIFF المشفرة من PixarFilm. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
Launch Services
CVE-ID: CVE-2009-2811
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8
التأثير: قد لا تؤدي محاولة فتح المحتوى غير الآمن الذي تم تنزيله إلى ظهور تحذير
الوصف: يضيف هذا التحديث ".fileloc" إلى قائمة أنواع المحتوى الخاصة بالنظام والتي سيتم وضع علامة عليها. من المحتمل أن تكون غير آمنة في ظل ظروف معينة، مثل عندما يتم تنزيلها من بريد إلكتروني. على الرغم من أن أنواع المحتوى هذه لا يتم فتحها تلقائيًا، إلا أنها إذا تم فتحها يدويًا، فقد تؤدي إلى تنفيذ حمولة متطفلة. يعمل هذا التحديث على تحسين قدرة النظام على إعلام المستخدمين قبل التعامل مع ملفات '.fileloc'. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
Launch Services
CVE-ID: CVE-2009-2812
متوفر لما يلي: Mac OS X الإصدار 10.5.8 وMac OS X Server الإصدار 10.5.8
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: عندما يتم تنزيل تطبيق ما، تقوم إطلاق الخدمات بتحليل أنواع المستندات المصدرة الخاصة به. قد تؤدي مشكلة التصميم في معالجة أنواع المستندات المصدرة إلى قيام إطلاق الخدمات بربط ملحق ملف آمن بمعرف النوع الموحد (UTI) غير الآمن. قد تؤدي زيارة موقع ويب متطفل إلى فتح نوع ملف غير آمن تلقائيًا. يعالج هذا التحديث المشكلة من خلال المعالجة المحسنة لأنواع المستندات المصدرة من التطبيقات غير الموثوق بها. لا تؤثر هذه المشكلة على الأنظمة التي تسبق أنظمة Mac OS X الإصدار 10.5 أو أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
MySQL
CVE-ID: CVE-2008-2079
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: تم تحديث MySQL إلى الإصدار 5.0.82
الوصف: تم تحديث MySQL إلى الإصدار 5.0.82 لمعالجة مشكلة التنفيذ التي تسمح للمستخدم المحلي بالحصول على امتيازات مرتفعة. تؤثر هذه المشكلة فقط على أنظمة Mac OS X Server. لا تؤثر هذه المشكلة على أنظمة Mac OS X الإصدار 10.6. مزيد من المعلومات متاحة عبر موقع الويب MySQL على http://dev.mysql.com/doc/refman/5.0/en/news-5-0-82.html
PHP
CVE-ID: CVE-2009-1271, CVE-2009-1272, CVE-2008-5498
متوفر لما يلي: Mac OS X الإصدار 10.5، وMac OS X Server الإصدار 10.5.8
التأثير: ثغرات أمنية متعددة في PHP 5.2.8
الوصف: تم تحديث PHP إلى الإصدار 5.2.10 لمعالجة العديد من الثغرات الأمنية، والتي قد يؤدي أخطرها إلى تنفيذ تعليمات برمجية عشوائية. مزيد من المعلومات متاحة عبر موقع PHP على http://www.php.net/ لا تؤثر هذه المشكلات على أنظمة Mac OS X الإصدار 10.6.
SMB
CVE-ID: CVE-2009-2813
متوفر لما يلي: OS X الإصدار 10.5.8، Mac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي تمكين مشاركة ملفات Windows إلى مشاركة المجلدات بشكل غير متوقع
الوصف: توجد حالة خطأ لم يتم التحقق منها في Samba. سيتمكن المستخدم الذي ليس لديه دليل رئيسي تم تكوينه، ويتصل بخدمة مشاركة ملفات Windows، من الوصول إلى محتويات نظام الملفات، مع مراعاة أذونات نظام الملفات المحلي. يعالج هذا التحديث المشكلة عن طريق تحسين معالجة أخطاء دقة المسار. لا تؤثر هذه المشكلة على الأنظمة التي تسبق أنظمة Mac OS X الإصدار 10.5 أو أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى J. David Hester من LCG Systems National لأنظمة LCG للإبلاغ عن هذه المشكلة.
Wiki Server
CVE-ID: CVE-2009-2814
متوفر لما يلي: Mac OS X Server الإصدار 10.5.8
التأثير: قد يتمكن مهاجم عن بعد من الوصول إلى حسابات مستخدمي Wiki Server\
الوصف: توجد مشكلة في البرمجة النصية عبر المواقع في معالجة خادم Wiki لطلبات البحث التي تحتوي على بيانات مشفرة بغير UTF-8. قد يسمح هذا لمهاجم عن بعد بالوصول إلى خادم Wiki باستخدام بيانات اعتماد مستخدم خادم Wiki الذي يقوم بالبحث. يعالج هذا التحديث المشكلة عن طريق تعيين UTF-8 كمجموعة الأحرف الافتراضية في استجابات HTTP. لا تؤثر هذه المشكلة على الأنظمة التي تسبق أنظمة Mac OS X الإصدار 10.5 أو أنظمة Mac OS X الإصدار 10.6. يعود الفضل إلى: Apple.
مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.