حول محتوى أمان الإصدار 10.11 من OS X El Capitan
يتناول هذا المستند محتوى أمان الإصدار 10.11 من OS X El Capitan.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. لمعرفة المزيد بشأن أمان منتجات Apple، راجع موقع أمان منتجات Apple على الويب.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع كيفية استخدام مفتاح PGP لأمان منتجات Apple.
وحيثما أمكن، يتم استخدام مُعرِّفات CVE للإشارة إلى وجود ثغرات للحصول على مزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع تحديثات أمان Apple.
OS X El Capitan إصدار 10.11
دفتر العناوين
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل محلي من إدخال رمز عشوائي إلى عمليات تقوم بتحميل إطار عمل "دفتر العناوين"
الوصف: وجود مشكلة في معالجة إطار عمل "دفتر العناوين" لمتغير البيئة. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة لمتغير البيئة.
CVE-ID
CVE-2015-5897: Dan Bastone من Gotham Digital Science
AirScan
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل لديه موضع شبكة ذات امتيازات من استخراج حمولة من حزم eSCL المُرسلة عبر اتصال آمن
الوصف: وجود مشكلة في معالجة حزم eSCL. تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة من الصحة.
CVE-ID
CVE-2015-5853: باحث غير معلوم الهوية
apache_mod_php
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من نقاط الضعف في PHP
الوصف: وجود العديد من الثغرات الأمنية في إصدارات PHP الأقدم من 5.5.27، بما في ذلك التي قد تؤدي إلى تنفيذ تعليمة برمجية عن بُعد. تمت معالجة هذه المشكلة عن طريق تحديث PHP إلى الإصدار 5.5.27.
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
مجموعة أدوات Apple Online Store
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن تطبيق ضار من الوصول إلى عناصر سلسلة مفاتيح المستخدم
الوصف: وجود مشكلة في التحقق من صحة قوائم التحكم في الوصول لعناصر سلسلة مفاتيح iCloud. تمت معالجة هذه المشكلة من خلال عمليات التحقق المحسّنة من قائمة التحكم في الوصول.
CVE-ID
CVE-2015-5836: XiaoFeng Wang من جامعة Indiana University، Luyi Xing من جامعة Indiana University، Tongxin Li من جامعة Peking University، Tongxin Li من جامعة Peking University، Xiaolong Bai من جامعة Tsinghua University
AppleEvents
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يُمكن لمستخدم متصل عبر مشاركة الشاشة إرسال "أحداث Apple" إلى جلسة عمل مستخدم محلي
الوصف: وجود مشكلة في تصفية "حدث Apple" الذي سمح لبعض المستخدمين بإرسال أحداث إلى مستخدمين آخرين. تمت معالجة هذه المشكلة عن طريق المعالجة المحسّنة لـ "حدث Apple".
CVE-ID
CVE-2015-5849: Jack Lawrence (@_jackhl)
الصوت
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يؤدي تشغيل ملف صوتي ضار إلى إنهاء غير متوقع للتطبيق
الوصف: وجدت مشكلة متعلقة بتلف في الذاكرة في معالجة ملفات صوتية. وقد تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5862: YoungJin Yoon من Information Security Lab. (أستاذالإعلانات Taekyoung Kwon)، جامعة يونسي، سيول، كوريا
bash
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات الأمنية في bash
الوصف: وجود العديد من الثغرات الأمنية في إصدارات bash الأقدم من 3.2 لمستوى التصحيح 57. تمت معالجة هذه المشاكل عن طريق تحديث الإصدار 3.2 من bash إلى مستوى التصحيح 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
سياسة الوثوق في الشهادات
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: تحديث سياسة الوثوق في الشهادات
الوصف: تم تحديث سياسة الوثوق في الشهادات. يُمكن عرض قائمة الشهادات الكاملة على https://support.apple.com/ar-ae/HT202858.
ملفات تعريف ارتباط CFNetwork
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن مهاجم يتمتع بمنصب ذي امتيازات في الشبكة من تتبع نشاط مستخدم
الوصف: وجود مشكلة في ملف تعريف ارتباط عبر المجالات في معالجة المجالات ذات المستوى الأعلى. تمت معالجة هذه المشكلة من خلال الإنشاء المحسّن لقيود ملف تعريف الارتباط.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng من فريق Blue Lotus Team، جامعة Tsinghua University
CFNetwork FTPProtocol
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد تتمكن خوادم FTP ضارة من التسبب في جعل العميل يقوم بإجراء استطلاع على المضيفين الآخرين
الوصف: وجود مشكلة في معالجة حزم FTP عند استخدام أمر PASV. وقد تم حل هذه المشكلة من خلال التحقق المحسّن من الصحة.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن عنوان URL متطفل من تجاوز HSTS وتسريب بيانات حساسة.
الوصف: وجود ثغرة أمنية في تحليل عنوان URL في معالجة HSTS. وقد تمت معالجة هذه المشكلة عبر التحليل المحسّن لعنوان URL.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng من فريق Blue Lotus Team، جامعة Tsinghua University
CFNetwork HTTPProtocol
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن أحد المخترقين ممن يتمتعون بمنصب ذي امتيازات في الشبكة من حركة مرور الشبكة.
الوصف: وجدت مشكلة في معالجة إدخالات قائمة ما قبل التحميل لـ HSTS في وضع التصفّح الخاص في Safari. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للحالة.
CVE-ID
CVE-2015-5859: Rosario Giustolisi من جامعة Luxembourg
CFNetwork HTTPProtocol
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن موقع ويب متطفل من تتبع مستخدمين في وضع الاستعراض الخاص في Safari
الوصف: وجدت مشكلة متعلقة بمعالجة حالة HSTS في وضع الاستعراض الخاص في Safari. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للحالة.
CVE-ID
CVE-2015-5860: Sam Greenhalgh من RadicalResearch Ltd
CFNetwork Proxies
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يؤدي الاتصال بوكيل ويب ضار إلى تعيين ملفات تعريف ارتباط ضارة لموقع ويب
الوصف: وجدت مشكلة متعلقة بمعالجة استجابات الاتصال بالوكيل. وقد تمت معالجة هذه المشكلة عن طريق إزالة عنوان ملف تعريف ارتباط التعيين أثناء تحليل رد الاتصال.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng من فريق Blue Lotus Team، جامعة Tsinghua University
CFNetwork SSL
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يقوم مخترق يتمتع بمنصب ذي امتيازات في الشبكة باعتراض اتصالات SSL/TLS
الوصف: وجدت مشكلة متعلقة بالتحقق من صحة الشهادة في NSURL عند تغيير شهادة. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الشهادة.
CVE-ID
CVE-2015-5824: Timothy J. Wood من The Omni Group
CFNetwork SSL
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن المخترق من فك تشفير البيانات المحمية بموجب SSL
الوصف: توجد هجمات غير معروفة على سرية RC4. قد يتمكن متطفل من فرض استخدام RC4، حتى إذا كان الخادم يفضل مجموعة تشفير أفضل، عن طريق حظر TLS 1.0 والاتصالات الأعلى إلى أن قامت CFNetwork بتجربة SSL 3.0، الذي لا يسمح سوى بـ RC4. تمت معالجة هذه المشكلة عن طريق إزالة التراجع إلى SSL 3.0.
CoreCrypto
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل من تحديد مفتاح خاص
الوصف: بملاحظة العديد من محاولات التوقيع أو فك التشفير، قد يتمكن متطفل من تحديد المفتاح الخاص لـ RSA. وقد تمت معالجة هذه المشكلة باستخدام خوارزميات محسّنة للتشفير.
CoreText
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية
الوصف: وجود مشكلة تلف الذاكرة خلال معالجة ملفات الخطوط. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak)، من فريق Yahoo Pentest Team
Dev Tools
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجدت مشكلة متعلقة بتلف الذاكرة في dyld. وقد تم التصدّي لهذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5876: beist من grayhash
Dev Tools
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن أحد التطبيقات من تجاوز توقيع التعليمة البرمجية
الوصف: وجدت مشكلة متعلقة بالتحقق من صحة توقيع التعليمة البرمجية القابلة للتنفيذ. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-5839: @PanguTeam
صور القرص
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجدت مشكلة متعلقة بتلف الذاكرة في DiskImages. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5847: Filippo Bigarella، Luca Todesco
dyld
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن أحد التطبيقات من تجاوز توقيع التعليمة البرمجية
الوصف: وجدت مشكلة متعلقة بالتحقق من صحة توقيع التعليمة البرمجية القابلة للتنفيذ. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-5839: TaiG Jailbreak Team
EFI
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يمكن أن يمنع تطبيق ضار من تشغيل بعض النُظم.
الوصف: وجود مشكلة في العناوين المؤمنة من قبل تسجيل النطاق المحمي. تم إصلاح هذه المشكلة عن طريق تغيير النطاق المحمي.
CVE-ID
CVE-2015-5900: Xeno Kovah وCorey Kallenberg من LegbaCore
EFI
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن محول Thunderbolt متطفل لإيثرنت Apple من التأثير على وميض البرنامج الثابت
الوصف: قد تتمكن محولات Thunderbolt لإيثرنت Apple من تعديل البرنامج الثابت للمضيف في حالة توصيله أثناء تحديث EFI. تمت معالجة هذه المشكلة عن طريق عدم تحميل خيار ROM أثناء التحديثات.
CVE-ID
CVE-2015-5914: Trammell Hudson من Two Sigma Investments and snare
Finder
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد لا تقوم ميزة "إفراغ آمن لسلة المهملات" من حذف الملفات الموجودة في "سلة المهملات" بأمان.
الوصف: وجود مشكلة في ضمان الحذف الآمن لملفات "سلة المهملات" في بعض النُظم، مثل النُظم التي تحتوي على تخزين محمول. تمت معالجة هذه المشكلة عن طريق إزالة خيار "إفراغ آمن لسلة المهملات".
CVE-ID
CVE-2015-5901: Apple
Game Center
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن تطبيق Game Center متطفل من الوصول إلى عنوان البريد الإلكتروني للمشغل
الوصف: وجدت مشكلة في Game Center متعلقة بمعالجة البريد الإلكتروني لمشغل. وقد تمت معالجة هذه المشكلة من خلال القيود المحسّنة للوصول.
CVE-ID
CVE-2015-5855: Nasser Alnasser
Heimdal
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل من إعادة تشغيل بيانات اعتماد Kerberos إلى خادم SMB.
الوصف: وجود مشكلة في المصادقة في بيانات اعتماد Kerberos. تم التصدي لهذه المشكلة عن طريق التحقق الإضافي من الصحة باستخدام قائمة من بيانات الاعتماد التي تمت مشاهدتها مؤخرًا.
CVE-ID
CVE-2015-5913: Tarun Chopra من Microsoft Corporation، الولايات المتحدة، وYu Fan من Microsoft Corporation، الصين
ICU
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات الأمنية في ICU
الوصف: وجدت ثغرات أمنية كثيرة في إصدارات ICU الأقدم من 53.1.0. وقد تمت معالجتها عبر تحديث إصدار ICU إلى الإصدار 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand من Google Project Zero
تثبيت إصدارات قديمة لإطارات العمل
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر
الوصف: وجود مشكلة تقييد في إطار العمل الخاص للتثبيت يحتوي على ملف قابل للتنفيذ ذي امتيازات. تمت معالجة هذه المشكلة عبر إزالة الملف القابل للتنفيذ.
CVE-ID
CVE-2015-5888: Apple
برنامج تشغيل رسومات Intel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود العديد من مشاكل تلف الذاكرة في برنامج "تشغيل رسومات Intel". تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-5830: Yuki MIZUNO (@mzyy94)
CVE-2015-5877: Camillus Gerard Cai
IOAudioFamily
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في IOAudioFamily أدت إلى الكشف عن محتوى ذاكرة kernel. تمت معالجة هذه المشكلة عن طريق إعادة ترتيب مؤشرات kernel.
CVE-ID
CVE-2015-5864: Luca Todesco
IOGraphics
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود العديد من مشاكل تلف الذاكرة في kernel. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-5871: Ilja van Sprundel من IOActive
CVE-2015-5872: Ilja van Sprundel من IOActive
CVE-2015-5873: Ilja van Sprundel من IOActive
CVE-2015-5890: Ilja van Sprundel من IOActive
IOGraphics
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في IOGraphics والتي ربما أدت إلى كشف تخطيط ذاكرة kernel. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5865: Luca Todesco
IOHIDFamily
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: وجود العديد من مشاكل تلف الذاكرة في IOHIDFamily. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-5866: Apple
CVE-2015-5867: moony li من Trend Micro
IOStorageFamily
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن المخترق المحلي من قراءة ذاكرة kernel
الوصف: وجدت مشكلة متعلقة بتهيئة الذاكرة في kernel. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5863: Ilja van Sprundel من IOActive
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود العديد من مشاكل تلف الذاكرة في kernel. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-5868: Cererdlong من فريق Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard من m00nbsd
CVE-2015-5903: CESG
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يمكن لعملية محلية تعديل عمليات أخرى بدون عمليات تحقق من الاستحقاق
الوصف: وجود مشكلة حيث تم السماح لعمليات الجذر التي تستخدم processor_set_tasks API باستعادة منافذ المهمة الخاصة بالعمليات الأخرى. تمت معالجة هذه المشكلة عبر عمليات التحقق الإضافية من الاستحقاق.
CVE-ID
CVE-2015-5882: Pedro Vilaça، يعمل من خلال بحث أصلي بواسطة Ming-chieh Pan وSung-ting Tsai وJonathan Levin
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل محلي من التحكم في قيمة ملفات تعريف ارتباط التكديس
الوصف: وجدت ثغرات أمنية كثيرة في إنشاء ملفات تعريف الارتباط الخاصة بتكديس مساحة المستخدم. تمت معالجة هذه المشكلة عن طريق الإنشاء المحسّن لملفات تعريف ارتباط التكديس.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل من تشغيل رفض هجمات الخدمة على اتصالات TCP المستهدفة بدون معرفة رقم التسلسل الصحيح
الوصف: وجدت مشكلة متعلقة بالتحقق من صحة xnu لعناوين حزمة TCP. تمت معالجة هذه المشكلة عن طريق التحقق المحسّن من صحة عنوان حزمة TCP.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يعمل المخترق في مقطع LAN محلي على تعطيل توجيه IPv6
الوصف: وجود مشكلة في التحقق غير الكافي من الصحة في معالجة إعلانات موجّه IPv6 الذي سمح لمتطفل بتعيين حد العمر الافتراضي على قيمة عشوائية. وقد تمت معالجة هذه المشكلة عن طريق فرض الحد الأدنى لحد العمر الافتراضي.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة أدت إلى الكشف عن تخطيط ذاكرة kernel. وقد تمت معالجة هذه المشكلة عن طريق التهيئة المحسّنة لبنيات ذاكرة kernel.
CVE-ID
CVE-2015-5842: beist من grayhash
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في واجهات التصحيح أدت إلى الكشف عن محتوى الذاكرة. تمت معالجة هذه المشكلة عن طريق تنظيف الإخراج من واجهات التصحيح.
CVE-ID
CVE-2015-5870: Apple
Kernel
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة
الوصف: وجود مشكلة إدارة الحالة في وظيفة التصحيح. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الصحة.
CVE-ID
CVE-2015-5902: Sergi Alvarez (pancake) من فريق NowSecure Research Team
libc
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل عن بُعد من تنفيذ تعليمة برمجية عشوائية.
الوصف: وجدت مشكلة متعلقة بتلف ذاكرة في وظيفة fflush. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2014-8611: Adrian Chadd وAlfred Perlstein من Norse Corporation
libpthread
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود مشكلة تلف الذاكرة في kernel. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5899: Lufeng Li من فريق Qihoo 360 Vulcan Team
libxpc
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد تتسبب العديد من اتصالات SSH في رفض الخدمة
الوصف: لا تحتوي الاتصالات التي تم تشغيلها على أي حد لعدد العمليات التي يُمكن تشغيلها من خلال اتصال بالشبكة. تمت معالجة هذه المشكلة عن طريق تقليل عدد عمليات SSH إلى 40.
CVE-ID
CVE-2015-5881: Apple
نافذة تسجيل الدخول
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد لا يتم تشغيل تأمين الشاشة بعد فترة زمنية محدّدة
الوصف: وجود مشكلة في تأمين الشاشة الملتقطة. تمت معالجة المشكلة عبر المعالجة المحسّنة للتأمين.
CVE-ID
CVE-2015-5833: Carlos Moreira، Rainer Dorau من rainer dorau informationsdesign، Chris Nehren، Kai Takac، Hans Douma، Toni Vaahtera، وJon Hall من Asynchrony
lukemftpd
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل عن بُعد من رفض الخدمة إلى خادم FTP
الوصف: وجود مشكلة معالجة عامة في tnftpd. تمت معالجة هذه المشكلة عبر التحقق العام المحسّن.
CVE-ID
CVE-2015-5917: Maksymilian Arciemowicz من cxsecurity.com
البريد
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد تؤدي طباعة رسالة بريد إلكتروني إلى تسريب معلومات حساسة خاصة بالمستخدم
الوصف: وجود مشكلة في "البريد" أدت إلى تجاوز تفضيلات المستخدم عند طباعة رسالة بريد إلكتروني. تمت معالجة هذه المشكلة عن طريق التنفيذ المحسّن لتفضيل المستخدم.
CVE-ID
CVE-2015-5881: Owen DeLong من Akamai Technologies، Noritaka Kamiya، Dennis Klein من Eschenburg، ألمانيا، Jeff Hammett من Systim Technology Partners
البريد
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل موجود في موضع شبكة ذات امتيازات من اعتراض مرفقات رسائل البريد الإلكتروني المشفرة S/MIME والمرسلة عبر Mail Drop
الوصف: وجود مشكلة في معالجة معلمات التشفير لمرفقات البريد الإلكتروني الكبيرة المرسلة عبر Mail Drop. تمت معالجة هذه المشكلة عن طريق إيقاف عرض Mail Drop عند إرسال رسائل بريد إلكتروني مشفرة.
CVE-ID
CVE-2015-5884 : John McCombs من Integrated Mapping Ltd
الاتصال متعدد النظير
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل محلي من ملاحظة بيانات متعددة النظير غير محمية
الوصف: وجدت مشكلة في معالجة مهايئ الملاءمة ربما تؤدي إلى خفض التشفير بشكل كبير إلى جلسة عمل غير مشفرة. وقد تمت معالجة هذه المشكلة عن طريق تغيير مهايئ الملاءمة للتشفير المطلوب.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) من فريق Data Theorem
NetworkExtension
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: وجدت مشكلة في ذاكرة غير مهيأة في kernel أدت إلى الكشف عن محتوى ذاكرة kernel. تمت معالجة هذه المشكلة عبر التهيئة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5831: Maxime Villard من m00nbsd
ملاحظات
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن مستخدم محلي من تسريب معلومات حساسة خاصة بالمستخدم
الوصف: وجود مشكلة في تحليل روابط في تطبيق "الملاحظات". وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-5878: Craig Young من Tripwire VERT، باحث غير معلوم الهوية
ملاحظات
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن مستخدم محلي من تسريب معلومات حساسة خاصة بالمستخدم
الوصف: وجود مشكلة في البرمجة النصية عبر المواقع في تحليل النص من خلال تطبيق "الملاحظات". وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-ID
CVE-2015-5875: xisigr من Tencent's Xuanwu LAB (www.tencent.com)
OpenSSH
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات الأمنية في OpenSSH
الوصف: وجود العديد من الثغرات الأمنية في إصدارات OpenSSH الأقدم من 6.9. وتمت معالجتها عبر تحديث إصدار OpenSSH إلى الإصدار 6.9.
CVE-ID
CVE-2014-2532
OpenSSL
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات في OpenSSL
الوصف: وجد ثغرات أمنية متعددة في إصدارات OpenSSL الأقدم من 0.9.8zg. وقد تمت معالجة هذه المشاكل عن طريق تحديث OpenSSL إلى الإصدار 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات الأمنية في procmail
الوصف: وجود العديد من الثغرات الأمنية في إصدارات procmail الأقدم من 3.22. وتمت معالجتها عن طريق إزالة procmail.
CVE-ID
CVE-2014-3618
remote_cmds
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات الجذر
الوصف: وجود مشكلة في استخدام متغيرات البيئة عن طريق ملف rsh الثنائي. تمت معالجة هذه المشكلة عن طريق إسقاط امتيازات setuid من ملف rsh الثنائي.
CVE-ID
CVE-2015-5889: Philip Pettersson
removefile
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد تؤدي معالجة ضارة إلى إنهاء غير متوقع للتطبيق
الوصف: وجد خطأ متعلق بتجاوز في إجراءات تقسيم checkint. وقد تمت معالجة هذه المشكلة عبر الإجراءات المحسّنة للتقسيم.
CVE-ID
CVE-2015-5840: باحث غير معلوم الهوية
Ruby
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات الأمنية في Ruby
الوصف: وجود العديد من الثغرات الأمنية في إصدارات Ruby الأقدم من 2.0.0p645. تمت معالجة هذه المشاكل عن طريق تحديث Ruby إلى الإصدار 2.0.0p645.
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
الأمان
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتم عرض حالة التأمين الخاصة بسلسلة المفاتيح بشكل غير صحيح للمستخدم
الوصف: وجود مشكلة إدارة حالة في طريقة تتبع حالة تأمين سلسلة المفاتيح. وقد تمت معالجة هذه المشكلة عبر الإدارة المحسّنة للحالة.
CVE-ID
CVE-2015-5915: Peter Walz من جامعة University of Minnesota، David Ephron، Eric E. Lawrence، Apple
الأمان
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد ينجح تقييم الثقة الذي يتم تكوينه ليتطلب التحقق من الإبطال حتى في حالة فشل التحقق من الإبطال
الوصف: تم تحديد علامة kSecRevocationRequirePositiveResponse ولكن لم يتم تنفيذها. تمت معالجة هذه المشكلة عبر تنفيذ العلامة.
CVE-ID
CVE-2015-5894: Hannes Oud من kWallet GmbH
الأمان
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يقوم خادم عن بُعد بطلب شهادة قبل تحديده نفسه
الوصف: قام النقل الآمن بقبول رسالة CertificateRequest قبل رسالة ServerKeyExchange. تمت معالجة هذه المشكلة عن طريق طلب ServerKeyExchange أولاً.
CVE-ID
CVE-2015-5887: Benjamin Beurdouche، Karthikeyan Bhargavan، Antoine Delignat-Lavaud، Alfredo Pironti، وJean Karim Zinzindohoue من INRIA Paris-Rocquencourt، وCedric Fournet وMarkulf Kohlweiss من Microsoft Research، Pierre-Yves Strub من IMDEA Software Institute
SMB
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكّن مستخدم محلي من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: وجود مشكلة تلف الذاكرة في kernel. تمت معالجة هذه المشكلة عبر المعالجة المحسّنة للذاكرة.
CVE-ID
CVE-2015-5891 : Ilja van Sprundel من IOActive
SMB
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel
الوصف: وجود مشكلة في SMBClient أدت إلى الكشف عن محتوى ذاكرة kernel. وقد تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-ID
CVE-2015-5893: Ilja van Sprundel من IOActive
SQLite
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: العديد من الثغرات الأمنية في SQLite v3.8.5
الوصف: وجود العديد من الثغرات الأمنية في SQLite الإصدار 3.8.5. وتمت معالجة هذه المشاكل عن طريق تحديث SQLite إلى الإصدار 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telephony
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: يُمكن لمتطفل محلي إجراء مكالمات هاتفية بدون علم المستخدم عند استخدام "الاستمرارية".
الوصف: وجود مشكلة في عمليات التحقق من الاعتماد لإجراء مكالمات هاتفية. تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة من الاعتماد.
CVE-ID
CVE-2015-3785: Dan Bastone من Gotham Digital Science
محطة طرفية
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يقوم نص متطفل بتضليل المستخدم الموجود في "المحطة الطرفية".
الوصف: لم تقم المحطة الطرفية بمعالجة أحرف التجاوز ثنائية الاتجاه عند عرض نص وتحديده. تمت معالجة هذه المشكلة عن طريق إزالة أحرف التجاوز ثنائية الاتجاه الموجودة في "المحطة الطرفية".
CVE-ID
CVE-2015-5883: Lukas Schauer (@lukas2511)
tidy
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد تؤدي زيارة موقع ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية
الوصف: وجود العديد من مشاكل تلف الذاكرة في tidy. تمت معالجة هذه المشاكل عبر التعامل المحسّن للذاكرة.
CVE-ID
CVE-2015-5522: Fernando Muñoz من NULLGroup.com
CVE-2015-5523: Fernando Muñoz من NULLGroup.com
Time Machine
متوفر لأجهزة: Mac OS X الإصدار 10.6.8 والإصدارات الأحدث
التأثير: قد يتمكن متطفل محلي من الوصول إلى عناصر سلسلة مفاتيح
الوصف: وجود مشكلة في النُسخ الاحتياطية لإطار عمل Time Machine. تمت معالجة هذه المشكلة من خلال التغطية المحسّنة لنُسخ Time Machine الاحتياطية.
CVE-ID
CVE-2015-5854: Jonas Magazinius من Assured AB
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.