हम काम और व्यक्तिगत ईमेल को संभालने के लिए पूरे दिन, हर दिन Apple के मेल ऐप का उपयोग करते हैं, जिसमें बहुत स्वागत योग्य नग्न सुरक्षा टिप्पणियों, प्रश्नों, लेख विचारों, टाइपो रिपोर्ट, पॉडकास्ट सुझावों और बहुत कुछ शामिल हैं।
(उन्हें आते रहें - हमें और अधिक सकारात्मक और उपयोगी संदेश मिलते हैं जो हमें ट्रोल करते हैं, और हम इसे इस तरह रखना पसंद करते हैं: tips@sophos.com हम तक कैसे पहुंचे।)
हमने हमेशा मेल ऐप को एक बहुत ही उपयोगी वर्कहॉर्स के रूप में पाया है जो हमें अच्छी तरह से सूट करता है: यह विशेष रूप से फैंसी नहीं है; यह उन सुविधाओं से भरा नहीं है जिनका हम कभी उपयोग नहीं करते हैं; यह देखने में आसान है; और (अब तक वैसे भी), यह पूरी तरह से विश्वसनीय रहा है।
लेकिन ऐप के नवीनतम संस्करण में शराब बनाने में एक गंभीर समस्या रही होगी, क्योंकि ऐप्पल बस बाहर ढकेल दिया IOS 16 के लिए एक बग सुरक्षा पैच, संस्करण संख्या को ले जाता है आईओएस 16.0.3, और मेल के लिए विशिष्ट भेद्यता को ठीक करना:
एक और केवल एक बग सूचीबद्ध है:
प्रभाव: दुर्भावनापूर्ण रूप से तैयार किए गए ईमेल संदेश को संसाधित करने से सेवा से इनकार हो सकता है विवरण: एक इनपुट सत्यापन समस्या को बेहतर इनपुट सत्यापन के साथ संबोधित किया गया था। सीवीई-2022-22658
"वन-बग" बुलेटिन
हमारे अनुभव में, ऐप्पल से "वन-बग" सुरक्षा बुलेटिन, या छोटे एन के लिए कम से कम एन-बग बुलेटिन, नियम के बजाय अपवाद हैं, और अक्सर ऐसा प्रतीत होता है जब एक स्पष्ट और वर्तमान खतरा होता है जैसे कि जेलब्रेक करने योग्य शून्य -दिन शोषण या शोषण अनुक्रम।
शायद इस प्रकार का सबसे प्रसिद्ध हाल ही में ज्ञात आपातकालीन अद्यतन था a डबल जीरो-डे फिक्स अगस्त 2022 में वेबकिट (एक तरह से) में एक रिमोट कोड निष्पादन छेद से युक्त दो-बैरल हमले के खिलाफ पैच किया गया, इसके बाद कर्नेल में एक स्थानीय कोड निष्पादन छेद (पूरी तरह से लेने का एक तरीका):
उन बगों को आधिकारिक तौर पर न केवल बाहरी लोगों के लिए जाना जाता है, बल्कि सक्रिय दुरुपयोग के तहत भी सूचीबद्ध किया गया था, संभवतः किसी प्रकार के मैलवेयर को आरोपित करने के लिए जो आपके द्वारा किए गए हर काम पर नजर रख सकते थे, जैसे कि आपके सभी डेटा पर जासूसी करना, गुप्त स्क्रीनशॉट लेना, सुनना फ़ोन कॉल करने के लिए, और अपने कैमरे से तस्वीरें लेने के लिए।
लगभग दो सप्ताह बाद, Apple भी बाहर हो गया अप्रत्याशित अद्यतन IOS 12 के लिए, एक पुराना संस्करण जिसे हम में से अधिकांश ने प्रभावी रूप से "त्यागने के लिए" माना था, जो कि लगभग एक साल पहले Apple के आधिकारिक सुरक्षा अपडेट से स्पष्ट रूप से अनुपस्थित था:
(जाहिर है, आईओएस 12 वेबकिट बग से प्रभावित था, लेकिन फॉलो-ऑन कर्नेल होल से नहीं, जिसने हाल के ऐप्पल उत्पादों पर हमले की श्रृंखला को और भी खराब कर दिया।)
इस बार, हालांकि, इस बात का कोई उल्लेख नहीं है कि बग को अपडेट में पैच किया गया है आईओएस 16.0.3 Apple के बाहर किसी के द्वारा रिपोर्ट किया गया था, अन्यथा हम बुलेटिन में नामित खोजक को देखने की अपेक्षा करेंगे, भले ही केवल के रूप में "एक गुमनाम शोधकर्ता".
इस बात का भी कोई सुझाव नहीं है कि बग पहले से ही हमलावरों को पता हो सकता है और इसलिए पहले से ही शरारत या बदतर के लिए इस्तेमाल किया जा रहा है ...
...लेकिन ऐप्पल को फिर भी लगता है कि यह सुरक्षा बुलेटिन जारी करने के लायक एक भेद्यता है।
आपको मेल मिला, मेल मिला, मेल मिला...
तथाकथित सेवा की मनाई (डीओएस) या क्रैश-मी-एट-विल बग्स को अक्सर भेद्यता दृश्य के लाइटवेट्स के रूप में माना जाता है, क्योंकि वे आम तौर पर हमलावरों के लिए डेटा पुनर्प्राप्त करने के लिए मार्ग प्रदान नहीं करते हैं, या उन्हें एक्सेस विशेषाधिकार प्राप्त करने के लिए, या दुर्भावनापूर्ण कोड चलाने के लिए मार्ग प्रदान नहीं करते हैं अपने स्वयं के चयन से।
लेकिन कोई भी DoS बग जल्दी से एक गंभीर समस्या में बदल सकता है, खासकर अगर यह पहली बार ट्रिगर होने के बाद बार-बार होता रहता है।
मैसेजिंग ऐप में यह स्थिति आसानी से उत्पन्न हो सकती है यदि बस एक बूबी-ट्रैप्ड मैसेज एक्सेस करने से ऐप क्रैश हो जाता है, क्योंकि आपको आमतौर पर परेशानी वाले मैसेज को डिलीट करने के लिए ऐप का इस्तेमाल करना पड़ता है ...
... और यदि दुर्घटना काफी जल्दी हो जाती है, तो ऐप के बार-बार क्रैश होने से पहले, आपको ट्रैश-कैन आइकन पर क्लिक करने या आपत्तिजनक संदेश को स्वाइप-डिलीट करने के लिए पर्याप्त समय नहीं मिलता है।
इस तरह के iPhone "टेक्स्ट-ऑफ-डेथ" परिदृश्यों के बारे में वर्षों से कई कहानियाँ सामने आई हैं, जिनमें शामिल हैं:
बेशक, दूसरी समस्या जिसे हम मजाक में कहते हैं CRASH: GOTO CRASH मैसेजिंग ऐप्स में बग यह है कि अन्य लोगों को यह चुनने के लिए मिलता है कि आपको कब संदेश देना है, और संदेश में क्या डालना है ...
... और यहां तक कि अगर आप अज्ञात या अविश्वसनीय प्रेषकों के संदेशों को ब्लॉक करने के लिए ऐप में किसी प्रकार के स्वचालित फ़िल्टरिंग नियम का उपयोग करते हैं, तो ऐप को आमतौर पर आपके संदेशों को संसाधित करने की आवश्यकता होगी ताकि यह तय किया जा सके कि किन लोगों से छुटकारा पाना है।
(ध्यान दें कि यह बग रिपोर्ट स्पष्ट रूप से निम्नलिखित कारणों से एक दुर्घटना को संदर्भित करती है "दुर्भावनापूर्ण तरीके से तैयार किए गए ईमेल संदेश को संसाधित करना".)
इसलिए ऐप वैसे भी क्रैश हो सकता है, और हर बार पुनरारंभ होने पर क्रैश हो सकता है क्योंकि यह उन संदेशों को संभालने की कोशिश करता है जिन्हें उसने पिछली बार से निपटने का प्रबंधन नहीं किया था।
क्या करना है?
आपने स्वचालित अपडेट चालू किए हैं या नहीं, यहां जाएं सेटिंग > सामान्य जानकारी > सॉफ्टवेयर अद्यतन ठीक करने के लिए (और, यदि आवश्यक हो, स्थापित करने के लिए) जाँच करने के लिए।
अद्यतन के बाद आप जो संस्करण देखना चाहते हैं वह है आईओएस 16.0.3 या बाद में।
यह देखते हुए कि Apple ने अकेले इस एक DoS बग के लिए एक सुरक्षा पैच को आगे बढ़ाया है, हम अनुमान लगा रहे हैं कि यदि कोई हमलावर इसका पता लगाता है तो कुछ विघटनकारी दांव पर लग सकता है।
उदाहरण के लिए, आप एक बमुश्किल प्रयोग करने योग्य उपकरण के साथ समाप्त हो सकते हैं जिसे आपको पूरी तरह से मिटा देना होगा और इसे स्वस्थ संचालन के लिए पुनर्स्थापित करने के लिए फिर से भरना होगा ...
कमजोरियों के बारे में अधिक जानें
किसी भी बिंदु पर जाने के लिए नीचे ध्वनि तरंगों पर क्लिक करें और खींचें। आप भी कर सकते हैं सीधे सुनो साउंडक्लाउड पर।
- Apple
- blockchain
- कॉइनजीनियस
- दुर्घटना की मृत्यु
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- CVE-2022-22658
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- फ़ायरवॉल
- iOS
- Kaspersky
- मैलवेयर
- McAfee
- नग्न सुरक्षा
- नेक्सब्लॉक
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- वीपीएन
- भेद्यता
- वेबसाइट सुरक्षा
- जेफिरनेट
![S3 Ep121: क्या आप हैक हो सकते हैं और फिर इसके लिए मुकदमा चलाया जा सकता है? [ऑडियो + टेक्स्ट]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep121-can-you-get-hacked-and-then-prosecuted-for-it-audio-text-360x188.png)
