نبذة حول تحديثات الأمان 2010-001
يصف هذا المستند تحديث الأمان 2010-001، الذي يمكن تنزيله وتثبيته من خلال تفضيلات تحديث البرنامج، أو من تنزيلات Apple.
لحماية عملائنا، لا تفصح Apple عن مشاكل الأمان أو تناقشها أو تؤكدها لحين إجراء استقصاء كامل، مع توفّر أي برامج تصحيح أو إصدارات ضرورية. للتعرّف على المزيد حول أمان منتجات Apple، تفضل بزيارة موقع أمان منتجات Apple.
للحصول على معلومات حول مفتاح PGP لأمان منتجات Apple، راجع "كيفية استخدام مفتاح PGP لأمان منتجات Apple."
إن أمكن، يتم استخدام معرفات CVE للإشارة إلى الثغرات لمعرفة المزيد من المعلومات.
للتعرّف على تحديثات الأمان الأخرى، راجع "تحديثات أمان Apple."
تحديث الأمان 2010-001
CoreAudio
CVE-ID: CVE-2010-0036
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.2، وMac OS X Server الإصدار 10.6.2
التأثير: قد يؤدي تشغيل ملف صوتي mp4 تم إنشاؤه بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو بشكل تعسفي تنفيذ التعليمات البرمجية
الوصف: يوجد تجاوز سعة المخزن المؤقت في معالجة ملفات الصوت mp4. قد يؤدي تشغيل ملف صوتي mp4 تم إنشاؤه بشكل متطفل إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يعود الفضل إلى Tobias Klein من trapkit.de للإبلاغ عن هذه المشكلة.
CUPS
CVE-ID: CVE-2009-3553
متوفر لما يلي: Mac OS X الإصدار 10.5.8، Mac OS X Server v10.5.8، Mac OS X الإصدار 10.6.2، Mac OS X Server الإصدار 10.6.2
التأثير: قد يتسبب مهاجم عن بعد في إنهاء غير متوقع لتطبيق cupsd
الوصف: استخدام بعد -مشكلة خالية موجودة في cupsd. من خلال إصدار طلب الحصول على وظائف الطابعة بشكل متطفل، قد يتسبب المهاجم في رفض الخدمة عن بعد. يتم التخفيف من ذلك من خلال إعادة التشغيل التلقائي لـ cupsd بعد إنهائه. تمت معالجة هذه المشكلة من خلال تتبع استخدام الاتصال المحسّن.
Flash Player plug-in
CVE-ID: CVE-2009-3794, CVE-2009-3796, CVE-2009-3797, CVE-2009-3798, CVE-2009-3799, CVE-2009-3800, CVE-2009-3951
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.2، وMac OS X Server الإصدار 10.6.2
التأثير: ثغرات أمنية متعددة في المكون الإضافي Adobe Flash Player
الوصف: توجد مشكلات متعددة في Adobe المكون الإضافي Flash Player، والذي قد يؤدي أخطره إلى تنفيذ تعليمات برمجية عشوائية عند عرض موقع ويب تم إنشاؤه بشكل متطفل. تتم معالجة المشكلات عن طريق تحديث المكون الإضافي Flash Player إلى الإصدار 10.0.42. يتوفر مزيد من المعلومات عبر موقع Adobe على الويب على http://www.adobe.com/support/security/bulletins/apsb09-19.html الفضل لباحث مجهول وDamian Put يعملان مع مبادرة TippingPoints Zero Day، وBing Liu من فريق FortiGuard لأبحاث الأمن العالمي في Fortinet، وWill Dormann من CERT، وManuel Caballero، وMicrosoft Vulnerability Research (MSVR).
ImageIO
CVE-ID: CVE-2009-2285
متوفر لما يلي: Mac OS X الإصدار 10.5.8، Mac OS X Server الإصدار 10.5.8
التأثير: قد يؤدي عرض صورة TIFF متطفلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية
الوصف: يوجد تدفق ناقص للمخزن المؤقت في معالجة ImageIO لصور TIFF. قد يؤدي عرض صورة TIFF ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. بالنسبة لأنظمة Mac OS X الإصدار 10.6، تمت معالجة هذه المشكلة في Mac OS X الإصدار 10.6.2.
Image RAW
CVE-ID: CVE-2010-0037
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.2، وMac OS X Server الإصدار 10.6.2
التأثير: قد يؤدي عرض صورة DNG متطفلة إلى إنهاء غير متوقع للتطبيق أو تعليمات تنفيذ برمجية عشوائية
الوصف: يوجد تجاوز سعة المخزن المؤقت في معالجة Image RAW لصور DNG. قد يؤدي عرض صورة DNG ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمات برمجية عشوائية. يتم تناول هذه المشكلة من خلال تحسين حدود فحص. يرجع الفضل إلى Jason Carr من Carnegie Mellon University Computing Services للإبلاغ عن هذه المشكلة.
OpenSSL
CVE-ID: CVE-2009-3555
متوفر لما يلي: Mac OS X الإصدار 10.5.8، وMac OS X Server الإصدار 10.5.8، وMac OS X الإصدار 10.6.2، وMac OS X Server الإصدار 10.6.2
التأثير: يمكن لمهاجم يتمتع بموقع مميز على الشبكة التقاط البيانات أو تغيير العمليات التي يتم إجراؤها في الجلسات المحمية بواسطة SSL
الوصف: توجد ثغرة أمنية في بروتوكولي SSL وTLS. مزيد من المعلومات متاحة على http://www.phonefactor.com/sslgap يجري حاليًا تغيير في بروتوكول إعادة التفاوض داخل IETF. يقوم هذا التحديث بتعطيل إعادة التفاوض في OpenSSL كإجراء أمني وقائي. لا تؤثر المشكلة على الخدمات التي تستخدم النقل الآمن لأنها لا تدعم إعادة التفاوض. يعود الفضل إلى Steve Dispensa وMarsh Ray من شركة PhoneFactor, Inc. للإبلاغ عن هذه المشكلة.
مهم: تعد الإشارة إلى مواقع الويب والمنتجات الخاصة بالجهات الخارجية لأغراض معلوماتية فقط، ولا تشكّل إقرارًا أو توصية. لا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار المعلومات أو المنتجات الموجودة على مواقع الويب التابعة لجهات خارجية أو أدائها أو استخدامها. توفر Apple ذلك من باب التيسير على مستخدمينا. لم تختبر Apple المعلومات الموجودة على هذه المواقع، ولا تُقدّم أية إقرارات فيما يتعلق بدقتها أو موثوقيتها. ثمة مخاطر كامنة في استخدام أي معلومات أو منتجات موجودة على الإنترنت، ولا تتحمل Apple أي مسؤولية في هذا الشأن. الرجاء إدراك أن هذا موقع تابع لجهة خارجية مستقلة عن Apple، ولا تمارس Apple أي رقابة على المحتوى المعروض على هذا الموقع الإلكتروني. يُرجى الاتصال بالبائع للحصول على معلومات إضافية.