iPhone यूजर्स ने पैच 2 जीरो-डेज में अपडेट करने का आग्रह किया

Apple macOS, iPhone और iPad उपयोगकर्ताओं से इस सप्ताह संबंधित अपडेट तुरंत स्थापित करने का आग्रह कर रहा है जिसमें सक्रिय हमले के तहत दो शून्य-दिनों के लिए फ़िक्सेस शामिल हैं। पैच कमजोरियों के लिए हैं जो हमलावरों को मनमाना कोड निष्पादित करने और अंततः उपकरणों को लेने की अनुमति देते हैं।

चल रहे प्रभावित उपकरणों के लिए पैच उपलब्ध हैं आईओएस 15.6.1 और मैकोज़ मोंटेरे 12.5.1. पैच दो दोषों को संबोधित करते हैं, जो मूल रूप से किसी भी ऐप्पल डिवाइस को प्रभावित करते हैं जो कि आईओएस 15 या उसके डेस्कटॉप ओएस के मोंटेरे संस्करण को चला सकता है, ऐप्पल द्वारा बुधवार को जारी सुरक्षा अपडेट के मुताबिक।

त्रुटियों में से एक कर्नेल बग है (CVE-2022-32894), जो आईओएस और मैकओएस दोनों में मौजूद है। Apple के अनुसार यह एक "आउट-ऑफ-बाउंड्स राइट इश्यू है [कि] बेहतर सीमा जाँच के साथ संबोधित किया गया था।"

ऐप्पल के अनुसार, भेद्यता एक एप्लिकेशन को कर्नेल विशेषाधिकारों के साथ मनमाने कोड को निष्पादित करने की अनुमति देती है, जो सामान्य अस्पष्ट फैशन में कहा गया है कि एक रिपोर्ट है कि इसका "सक्रिय रूप से शोषण किया गया हो सकता है।"

दूसरी खामी को वेबकिट बग (सीवीई-2022-32893 के रूप में ट्रैक किया गया) के रूप में पहचाना जाता है, जो कि एक आउट-ऑफ-बाउंड राइट इश्यू है जिसे ऐप्पल ने बेहतर सीमा जाँच के साथ संबोधित किया। दोष दुर्भावनापूर्ण रूप से तैयार की गई वेब सामग्री को संसाधित करने की अनुमति देता है जिससे कोड निष्पादन हो सकता है, और ऐप्पल के अनुसार सक्रिय शोषण के तहत भी बताया गया है। वेबकिट एक ब्राउज़र इंजन है जो सफारी और आईओएस पर काम करने वाले अन्य सभी तृतीय-पक्ष ब्राउज़रों को शक्ति प्रदान करता है।

पेगासस जैसा परिदृश्य

दोनों दोषों की खोज, जिसके बारे में Apple के प्रकटीकरण से थोड़ा अधिक जाना जाता है, का श्रेय एक अनाम शोधकर्ता को दिया गया।

एक विशेषज्ञ ने चिंता व्यक्त की कि नवीनतम ऐप्पल खामियां "प्रभावी रूप से हमलावरों को डिवाइस तक पूर्ण पहुंच प्रदान कर सकती हैं," वे एक बना सकते हैं पेगासस की तरह उस परिदृश्य के समान जिसमें राष्ट्र-राज्य एपीटी ने लक्ष्यों को रोक दिया स्पाइवेयर के साथ एक iPhone भेद्यता का फायदा उठाकर इज़राइली NSO समूह द्वारा बनाया गया।

"ज्यादातर लोगों के लिए: दिन के अंत तक सॉफ़्टवेयर अपडेट करें," ट्वीट किए सोशलप्रूफ सिक्योरिटी के सीईओ राहेल टोबैक, शून्य दिनों के संबंध में। "अगर खतरा मॉडल ऊंचा है (पत्रकार, कार्यकर्ता, राष्ट्र राज्यों द्वारा लक्षित, आदि): अभी अपडेट करें," टोबैक ने चेतावनी दी।

शून्य-दिन प्रचुर मात्रा में

इस सप्ताह Google की अन्य खबरों के साथ खामियों का खुलासा किया गया था कि यह पैचिंग कर रहा था अपने क्रोम ब्राउज़र के लिए इस साल अब तक का पांचवां शून्य-दिवस, सक्रिय हमले के तहत एक मनमाना कोड निष्पादन बग।

शीर्ष तकनीकी विक्रेताओं से खतरे वाले अभिनेताओं द्वारा रोके जाने की खबर से पता चलता है कि शीर्ष स्तरीय तकनीकी कंपनियों के अपने सॉफ़्टवेयर में बारहमासी सुरक्षा मुद्दों को हल करने के सर्वोत्तम प्रयासों के बावजूद, यह एक कठिन लड़ाई बनी हुई है, वरिष्ठ तकनीकी निदेशक एंड्रयू व्हेली ने कहा। Promon, एक नॉर्वेजियन ऐप सुरक्षा कंपनी।

उन्होंने कहा कि आईओएस में खामियां विशेष रूप से चिंताजनक हैं, क्योंकि आईफ़ोन की सर्वव्यापकता और उपयोगकर्ताओं को अपने दैनिक जीवन के लिए मोबाइल उपकरणों पर पूरी तरह से निर्भरता को देखते हुए, उन्होंने कहा। हालांकि, इन उपकरणों की सुरक्षा के लिए न केवल विक्रेताओं पर बल्कि उपयोगकर्ताओं के लिए मौजूदा खतरों के बारे में अधिक जागरूक होने के लिए, व्हेल ने देखा।

"जबकि हम सभी अपने मोबाइल उपकरणों पर भरोसा करते हैं, वे अजेय नहीं हैं, और उपयोगकर्ताओं के रूप में हमें अपने गार्ड को ठीक उसी तरह बनाए रखने की आवश्यकता है जैसे हम डेस्कटॉप ऑपरेटिंग सिस्टम पर करते हैं," उन्होंने थ्रेटपोस्ट को एक ईमेल में कहा।

साथ ही, आईफोन और अन्य मोबाइल उपकरणों के लिए ऐप्स के डेवलपर्स को भी अपनी तकनीक में सुरक्षा नियंत्रण की एक अतिरिक्त परत जोड़नी चाहिए ताकि वे सुरक्षा के लिए ओएस सुरक्षा पर कम निर्भर हों, जो कि अक्सर फसल की खामियों को देखते हुए, व्हेल ने देखा।

"हमारे अनुभव से पता चलता है कि यह पर्याप्त नहीं हो रहा है, संभावित रूप से बैंकिंग और अन्य ग्राहकों को कमजोर कर रहा है," उन्होंने कहा।