আইফোন ব্যবহারকারীদের প্যাচ 2 জিরো-ডে আপডেট করার জন্য অনুরোধ করা হয়েছে

অ্যাপল ম্যাকওএস, আইফোন এবং আইপ্যাড ব্যবহারকারীদের অবিলম্বে এই সপ্তাহে সংশ্লিষ্ট আপডেটগুলি ইনস্টল করার জন্য অনুরোধ করছে যাতে সক্রিয় আক্রমণের অধীনে দুটি শূন্য-দিনের জন্য সংশোধন রয়েছে। প্যাচগুলি দুর্বলতার জন্য যা আক্রমণকারীদের নির্বিচারে কোড কার্যকর করতে এবং শেষ পর্যন্ত ডিভাইসগুলি দখল করতে দেয়।

চলমান প্রভাবিত ডিভাইসের জন্য প্যাচ উপলব্ধ প্রয়োজন iOS 15.6.1 এবং macOS মন্টেরি 12.5.1. প্যাচগুলি দুটি ত্রুটির সমাধান করে, যা মূলত যে কোনও অ্যাপল ডিভাইসকে প্রভাবিত করে যা iOS 15 বা তার ডেস্কটপ ওএসের মন্টেরি সংস্করণ চালাতে পারে, অ্যাপল বুধবার প্রকাশিত সুরক্ষা আপডেট অনুসারে।

ত্রুটিগুলির মধ্যে একটি হল একটি কার্নেল বাগ (জন্য CVE-2022-32894), যা iOS এবং macOS উভয় ক্ষেত্রেই বিদ্যমান। অ্যাপলের মতে এটি একটি "সীমার বাইরে লেখা সমস্যা [যেটি] উন্নত সীমানা পরীক্ষা করে সমাধান করা হয়েছিল।"

দুর্বলতা একটি অ্যাপ্লিকেশনকে কার্নেল সুবিধা সহ নির্বিচারে কোড চালানোর অনুমতি দেয়, অ্যাপল অনুসারে, যা স্বাভাবিক অস্পষ্ট ফ্যাশনে বলেছে যে একটি প্রতিবেদন রয়েছে যে এটি "সক্রিয়ভাবে শোষিত হতে পারে।"

দ্বিতীয় ত্রুটিটি একটি ওয়েবকিট বাগ হিসাবে চিহ্নিত করা হয়েছে (CVE-2022-32893 হিসাবে ট্র্যাক করা হয়েছে), যা একটি সীমার বাইরে লেখা সমস্যা যা অ্যাপল উন্নত সীমানা পরীক্ষা করে সমাধান করেছে। ত্রুটিটি দূষিতভাবে তৈরি করা ওয়েব সামগ্রী প্রক্রিয়াকরণের অনুমতি দেয় যা কোড সম্পাদনের দিকে পরিচালিত করতে পারে এবং অ্যাপলের মতে সক্রিয় শোষণের অধীনে রয়েছে বলেও রিপোর্ট করা হয়েছে। WebKit হল ব্রাউজার ইঞ্জিন যা Safari এবং iOS-এ কাজ করে এমন অন্য সব তৃতীয় পক্ষের ব্রাউজারকে ক্ষমতা দেয়।

পেগাসাস-লাইক সিনারিও

উভয় ত্রুটির আবিষ্কার, যা সম্পর্কে অ্যাপলের প্রকাশের বাইরেও আরও কিছু জানা যায়, একটি বেনামী গবেষককে কৃতিত্ব দেওয়া হয়েছিল।

একজন বিশেষজ্ঞ উদ্বেগ প্রকাশ করেছেন যে অ্যাপলের সর্বশেষ ত্রুটিগুলি "কার্যকরভাবে আক্রমণকারীদের ডিভাইসে সম্পূর্ণ অ্যাক্সেস দিতে পারে," তারা একটি তৈরি করতে পারে পেগাসাস-সদৃশ জাতি-রাষ্ট্র এপিটি লক্ষ্যবস্তুকে বাধাগ্রস্ত করার মতো পরিস্থিতি স্পাইওয়্যার দিয়ে আইফোনের দুর্বলতাকে কাজে লাগিয়ে ইসরাইলি এনএসও গ্রুপ তৈরি করেছে।

"বেশিরভাগ লোকের জন্য: দিনের শেষে সফ্টওয়্যার আপডেট করুন," টুইট র্যাচেল টোব্যাক, সোশ্যালপ্রুফ সিকিউরিটির সিইও, শূন্য-দিন সম্পর্কিত। "যদি হুমকির মডেলটি উন্নত করা হয় (সাংবাদিক, কর্মী, জাতি রাষ্ট্র দ্বারা লক্ষ্যবস্তু, ইত্যাদি): এখনই আপডেট করুন," টোব্যাক সতর্ক করেছে৷

শূন্য-দিন প্রচুর

এই সপ্তাহে গুগল থেকে অন্যান্য খবরের পাশাপাশি ত্রুটিগুলি উন্মোচন করা হয়েছিল প্যাচিং ছিল এটির ক্রোম ব্রাউজারের জন্য এই বছর এখন পর্যন্ত এটি পঞ্চম শূন্য-দিন, সক্রিয় আক্রমণের অধীনে একটি নির্বিচারে কোড এক্সিকিউশন বাগ।

শীর্ষস্থানীয় প্রযুক্তি বিক্রেতাদের কাছ থেকে আরও দুর্বলতার খবর হুমকির অভিনেতাদের দ্বারা বাধাগ্রস্ত হওয়ার বিষয়টি প্রমাণ করে যে শীর্ষ-স্তরের প্রযুক্তি কোম্পানিগুলি তাদের সফ্টওয়্যারে বহুবর্ষজীবী নিরাপত্তা সমস্যাগুলি মোকাবেলার সর্বোত্তম প্রচেষ্টা সত্ত্বেও, এটি একটি চড়াই যুদ্ধ রয়ে গেছে, উল্লেখ করেছেন, এন্ড্রু হোয়েলি, সিনিয়র টেকনিক্যাল ডিরেক্টর Promon, একটি নরওয়েজিয়ান অ্যাপ নিরাপত্তা কোম্পানি।

আইওএসের ত্রুটিগুলি বিশেষত উদ্বেগজনক, আইফোনের সর্বব্যাপীতা এবং তাদের দৈনন্দিন জীবনের জন্য মোবাইল ডিভাইসের উপর ব্যবহারকারীদের সম্পূর্ণ নির্ভরতার কারণে, তিনি বলেছিলেন। যাইহোক, এই ডিভাইসগুলিকে রক্ষা করার দায়িত্ব শুধুমাত্র বিক্রেতাদের উপর নয় বরং ব্যবহারকারীদের বিদ্যমান হুমকির বিষয়ে আরও সচেতন হওয়ার জন্যও, ওয়েলি পর্যবেক্ষণ করেছেন।

"যদিও আমরা সবাই আমাদের মোবাইল ডিভাইসের উপর নির্ভর করি, সেগুলি অরক্ষিত নয়, এবং ব্যবহারকারী হিসাবে আমাদের আমাদের গার্ড বজায় রাখতে হবে ঠিক যেমন আমরা ডেস্কটপ অপারেটিং সিস্টেমে করি," তিনি থ্রেটপোস্টকে একটি ইমেলে বলেছিলেন।

একই সময়ে, আইফোন এবং অন্যান্য মোবাইল ডিভাইসের জন্য অ্যাপ্লিকেশনগুলির বিকাশকারীদেরও তাদের প্রযুক্তিতে সুরক্ষা নিয়ন্ত্রণের একটি অতিরিক্ত স্তর যুক্ত করা উচিত যাতে তারা সুরক্ষার জন্য OS সুরক্ষার উপর কম নির্ভরশীল হয়, যে ত্রুটিগুলি ঘন ঘন দেখা দেয়, ওয়েলি পর্যবেক্ষণ করেছেন।

"আমাদের অভিজ্ঞতা দেখায় যে এটি যথেষ্ট ঘটছে না, সম্ভাব্যভাবে ব্যাংকিং এবং অন্যান্য গ্রাহকদের ঝুঁকির মধ্যে ফেলেছে," তিনি বলেছিলেন।