एप्पल से आपातकालीन कोड निष्पादन पैच

प्लेटो द्वारा पुनर्प्रकाशित

अनुयायियों: 0

नवीनतम 62 पैच (या 64, आप कैसे गिनते हैं इसके आधार पर) की समीक्षा करने के बाद हमने जल्द ही अपनी सांस पकड़ने के लिए रोक दिया था। माइक्रोसॉफ्ट द्वारा गिरा दिया गया मंगलवार को पैच...

…की तुलना में Apple के नवीनतम सुरक्षा बुलेटिन हमारे इनबॉक्स में आए।

इस बार केवल दो रिपोर्ट किए गए सुधार थे: नवीनतम iOS या iPadOS चलाने वाले मोबाइल उपकरणों के लिए, और नवीनतम macOS अवतार चलाने वाले Mac के लिए, संस्करण 13, जिसे वेंचुरा के रूप में जाना जाता है।

संक्षेप में बताने के लिए कि पहले से ही सुपर-शॉर्ट सुरक्षा रिपोर्ट क्या हैं:

HT21304: वेंचुरा 13.0 से अपडेट हो जाता है 13.0.1.
HT21305: iOS और iPadOS 16.1 से 16.1.1

दो सुरक्षा बुलेटिनों में ठीक वैसी ही दो खामियों की सूची है, जिसे Google की प्रोजेक्ट जीरो टीम ने एक पुस्तकालय में पाया है libxml2, और आधिकारिक तौर पर नामित CVE-2022-40303 और CVE-2022-40304.

दोनों बग्स को नोट्स के साथ लिखा गया था "एक दूरस्थ उपयोगकर्ता अप्रत्याशित ऐप समाप्ति या मनमानी कोड निष्पादन का कारण बन सकता है".

.s-बटन+.s-बटन { मार्जिन-बाएं: .3125rem; } .s-बटन { संक्रमण: सभी .15s रैखिक; फ़ॉन्ट-आकार: .875rem; लाइन-ऊंचाई: 1.5; रंग: #f2f2f2; फ़ॉन्ट-परिवार: सोफोससंसमीडियम, हेल्वेटिका नीयू, हेल्वेटिका, एरियल, सेन्स-सेरिफ़; फ़ॉन्ट-वजन: 400; फ़ॉन्ट-शैली: सामान्य; प्रदर्शन: इनलाइन-ब्लॉक; पैडिंग: .3125rem 1.25rem; कर्सर: सूचक; पाठ-संरेखण: केंद्र; पाठ-सजावट: कोई नहीं; सीमा: 1px ठोस #005bc8; सीमा-त्रिज्या: 3px; पृष्ठभूमि-रंग: #005bc8; पाठ-छाया: कोई नहीं; } .s-बटन: होवर {पाठ-सजावट: कोई नहीं; रंग: #fff; सीमा-रंग: #002d62; पृष्ठभूमि-रंग: #002d62; } .s-button-white, .s-button-white:hover {रंग: #005bc8 !महत्वपूर्ण; सीमा-रंग: #fff; पृष्ठभूमि-रंग: #fff; } .s-ad-sophos-mdr { font-size: 1rem; लाइन-ऊंचाई: 1.5; रंग: #242629; फ़ॉन्ट-परिवार: सोफोससंसरेगुलर, हेल्वेटिका नीयू, हेल्वेटिका, एरियल, सेन्स-सेरिफ़; फ़ॉन्ट-वजन: 400; फ़ॉन्ट-शैली: सामान्य; स्थिति: रिश्तेदार; अधिकतम-चौड़ाई: 769px; मार्जिन: 15px ऑटो; पैडिंग: 30px 30px 25px; संक्रमण: बॉक्स-छाया .25s क्यूबिक-बेज़ियर(.645, .045, .355, 1); पाठ-संरेखण: केंद्र; पृष्ठभूमि-रंग: #0d141d; बैकग्राउंड-रिपीट: नो-रिपीट; पृष्ठभूमि-स्थिति: 50%; पृष्ठभूमि-आकार: कवर; बॉक्स-छाया: 0 0 0 0 0 पारदर्शी; पृष्ठभूमि-रंग: #005bc8; पृष्ठभूमि-छवि: कोई नहीं; पृष्ठभूमि-स्थिति: 0 0; } .s-ad-sophos-mdr__title { फॉन्ट-साइज: 2rem; लाइन-ऊंचाई: 1.125; मार्जिन-बॉटम: 4px; रंग: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; फ़ॉन्ट-वजन: 400; फ़ॉन्ट-शैली: सामान्य; फ़ॉन्ट-आकार: 17px; रंग: #fff; } .s-ad-sophos-mdr__action { मार्जिन-टॉप: 15px; } .s-ad-sophos-mdr__action .s-button { रंग: #fff; } .s-ad-sophos-mdr__link-wrapper { टेक्स्ट-डेकोरेशन: कोई नहीं; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { बॉक्स-छाया: 0 5px 10px 0 rgba (0, 0, 0, .15); } .s-ad-sophos-mdr__sophos-logo { स्थिति: निरपेक्ष; शीर्ष: 15 पीएक्स; दाएं: 15 पीएक्स; } .s-ad-sophos-mdr__sophos-logo-svg { डिस्प्ले: इनलाइन-ब्लॉक; चौड़ाई: 64 पीएक्स; ऊंचाई: 11 पीएक्स; लंबवत-संरेखण: शीर्ष; बैकग्राउंड-रिपीट: नो-रिपीट; पृष्ठभूमि का आकार: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; फ़ॉन्ट-वजन: 400; फ़ॉन्ट-शैली: सामान्य; फ़ॉन्ट-आकार: 28px; फ़ॉन्ट-वजन: 700; लाइन-ऊंचाई: 1; मार्जिन-बॉटम: 10px; पाठ-संरेखण: बाएँ; } .s-ad-sophos-mdr__title svg {अधिकतम-चौड़ाई: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; लाइन-ऊंचाई: 1.25; पाठ-संरेखण: बाएँ; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { सीमा-त्रिज्या: 20px; } @मीडिया (न्यूनतम-चौड़ाई:769px) { .s-ad-sophos-mdr__text { मार्जिन-दाएं: 140px; } .s-ad-sophos-mdr__action { स्थिति: निरपेक्ष; दाएं: 30 पीएक्स; नीचे: 30 पीएक्स; } } @मीडिया (अधिकतम-चौड़ाई:768px) { .s-ad-sophos-mdr { पैडिंग-टॉप: 50px; } .s-ad-sophos-mdr__title { फॉन्ट-साइज: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { पैडिंग-टॉप: 30px; } }

ऐप्पल के सामान्य शून्य-दिन के शब्दों के साथ न तो बग की सूचना दी गई है कि कंपनी "एक रिपोर्ट से अवगत है कि इस मुद्दे का सक्रिय रूप से शोषण किया जा सकता है", इसलिए कोई सुझाव नहीं है कि ये बग शून्य-दिन हैं, कम से कम ऐप्पल के पारिस्थितिक तंत्र के अंदर .

लेकिन सिर्फ दो बग फिक्स के साथ, बस दो हफ्ते बाद ऐप्पल की पैच की आखिरी किश्त, शायद ऐप्पल ने सोचा कि ये छेद शोषण के लिए परिपक्व थे और इस प्रकार एक-बग पैच को अनिवार्य रूप से धक्का दिया गया, यह देखते हुए कि ये छेद एक ही सॉफ्टवेयर घटक में दिखाए गए हैं?

इसके अलावा, यह देखते हुए कि XML डेटा को पार्स करना ऑपरेटिंग सिस्टम और कई ऐप्स दोनों में व्यापक रूप से किया जाने वाला कार्य है; यह देखते हुए कि XML डेटा अक्सर अविश्वसनीय बाहरी स्रोतों जैसे वेबसाइटों से आता है; और दिए गए बग को आधिकारिक तौर पर रिमोट कोड निष्पादन के लिए परिपक्व के रूप में नामित किया गया है, आमतौर पर मैलवेयर या स्पाइवेयर को दूरस्थ रूप से प्रत्यारोपित करने के लिए उपयोग किया जाता है ...

…शायद Apple ने महसूस किया कि ये बग इतने व्यापक रूप से खतरनाक थे कि लंबे समय तक बिना पैच के छोड़े जा सकते थे?

अधिक नाटकीय रूप से, शायद Apple ने निष्कर्ष निकाला कि जिस तरह से Google ने इन बगों को पाया वह पर्याप्त रूप से स्पष्ट था कि कोई और आसानी से उन पर ठोकर खा सकता है, शायद वास्तव में बिना मतलब के भी, और बुरे के लिए उनका उपयोग करना शुरू कर दे?

या शायद बग Google द्वारा उजागर किए गए थे क्योंकि कंपनी के बाहर के किसी व्यक्ति ने सुझाव दिया था कि कहां देखना शुरू करना है, इस प्रकार इसका अर्थ यह है कि कमजोरियों को पहले से ही संभावित हमलावरों के लिए जाना जाता था, भले ही उन्हें अभी तक पता नहीं चला कि उनका शोषण कैसे किया जाए?

(तकनीकी रूप से, एक अभी तक नहीं शोषित भेद्यता जिसे आप साइबर सुरक्षा ग्रेपवाइन से बग-हंटिंग संकेतों के कारण खोजते हैं, वास्तव में एक शून्य-दिन नहीं है यदि किसी ने अभी तक यह पता नहीं लगाया है कि छेद का दुरुपयोग कैसे किया जाए।)