Emergency Code Execution Patch From Apple

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

فالونگ: 0

تازہ ترین 62 پیچ (یا 64، اس بات پر منحصر ہے کہ آپ کیسے گنتے ہیں) کا جائزہ لینے کے بعد ہم اپنی سانسیں پکڑنے کے لیے رک گئے تھے۔ مائیکروسافٹ کی طرف سے گرا دیا منگل کو پیچ پر…

ایپل کے تازہ ترین سیکیورٹی بلیٹنز ہمارے ان باکس میں اترے۔

اس بار صرف دو رپورٹ شدہ اصلاحات تھیں: جدید ترین iOS یا iPadOS چلانے والے موبائل آلات کے لیے، اور جدید ترین macOS اوتار چلانے والے Macs کے لیے، ورژن 13، جو Ventura کے نام سے مشہور ہے۔

خلاصہ کرنے کے لیے جو پہلے سے ہی انتہائی مختصر سیکیورٹی رپورٹس ہیں:

HT21304: وینٹورا کو 13.0 سے اپ ڈیٹ کیا جاتا ہے۔ 13.0.1.
HT21305: iOS اور iPadOS کو 16.1 سے اپ ڈیٹ کیا جاتا ہے۔ 16.1.1

دونوں سیکیورٹی بلیٹنز میں بالکل وہی دو خامیاں درج ہیں، جو گوگل کی پروجیکٹ زیرو ٹیم نے لائبریری میں پائی ہیں۔ libxml2، اور سرکاری طور پر نامزد کیا گیا ہے۔ CVE-2022-40303 اور CVE-2022-40304.

دونوں کیڑے نوٹوں کے ساتھ لکھے گئے تھے۔ "ایک دور دراز کا صارف غیر متوقع ایپ کو ختم کرنے یا من مانی کوڈ پر عمل درآمد کرنے کے قابل ہو سکتا ہے".

.s-بٹن+.s-بٹن { مارجن-بائیں: .3125rem; } .s-بٹن { منتقلی: تمام .15s لکیری؛ فونٹ سائز: .875rem; لائن کی اونچائی: 1.5؛ رنگ: #f2f2f2؛ فونٹ فیملی: SophosSansMedium، Helvetica Neue، Helvetica، Arial، sans-serif؛ فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ ڈسپلے: ان لائن بلاک؛ پیڈنگ: .3125rem 1.25rem; کرسر: پوائنٹر؛ متن سیدھ: مرکز؛ متن کی سجاوٹ: کوئی نہیں؛ بارڈر: 1px ٹھوس #005bc8؛ سرحدی رداس: 3px؛ پس منظر کا رنگ: #005bc8؛ ٹیکسٹ شیڈو: کوئی نہیں؛ } .s-بٹن: ہوور { ٹیکسٹ ڈیکوریشن: کوئی نہیں؛ رنگ: #fff؛ بارڈر کا رنگ: #002d62؛ پس منظر کا رنگ: #002d62؛ } .s-بٹن–سفید، .s-بٹن–سفید: ہوور { رنگ: #005bc8 !اہم؛ بارڈر کا رنگ: #fff؛ پس منظر کا رنگ: #fff؛ } .s-ad-sophos-mdr { فونٹ سائز: 1rem; لائن کی اونچائی: 1.5؛ رنگ: #242629؛ فونٹ فیملی: SophosSansRegular، Helvetica Neue، Helvetica، Arial، sans-serif؛ فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ پوزیشن: رشتہ دار زیادہ سے زیادہ چوڑائی: 769px؛ مارجن: 15px آٹو؛ پیڈنگ: 30px 30px 25px؛ منتقلی: box-shadow .25s کیوبک-bezier( .645, .045, .355, 1 ); متن کی سیدھ: مرکز؛ پس منظر کا رنگ: #0d141d؛ background-repeat: no-repeat؛ پس منظر کی پوزیشن: 50٪؛ پس منظر کا سائز: کور باکس شیڈو: 0 0 0 0 0 شفاف؛ پس منظر کا رنگ: #005bc8؛ پس منظر کی تصویر: کوئی نہیں؛ پس منظر کی پوزیشن: 0 0; } .s-ad-sophos-mdr__title { فونٹ سائز: 2rem; لائن کی اونچائی: 1.125؛ مارجن نیچے: 4px؛ رنگ: #fff؛ } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ فونٹ سائز: 17px؛ رنگ: #fff؛ } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-بٹن { رنگ: #fff; } .s-ad-sophos-mdr__link- wrapper { متن کی سجاوٹ: کوئی نہیں؛ } .s-ad-sophos-mdr__link-wrapper: hover .s-ad-sophos-mdr { باکس شیڈو: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { پوزیشن: مطلق؛ اوپر: 15px؛ دائیں: 15px؛ } .s-ad-sophos-mdr__sophos-logo-svg { ڈسپلے: ان لائن بلاک؛ چوڑائی: 64px؛ اونچائی: 11px؛ عمودی سیدھ: اوپر؛ background-repeat: no-repeat؛ پس منظر کا سائز: 64px 11px؛ } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; فونٹ کا وزن: 400؛ فونٹ طرز: نارمل؛ فونٹ سائز: 28px؛ فونٹ کا وزن: 700؛ لائن کی اونچائی: 1؛ مارجن نیچے: 10px؛ متن سیدھ کریں: بائیں؛ } .s-ad-sophos-mdr__title svg { زیادہ سے زیادہ چوڑائی: 100%; } .s-ad-sophos-mdr__text { فونٹ سائز: 16px; لائن کی اونچائی: 1.25؛ متن سیدھ کریں: بائیں؛ } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s- بٹن { بارڈر ریڈیئس: 20px؛ } @media (کم سے کم چوڑائی:769px) { .s-ad-sophos-mdr__text { مارجن-دائیں: 140px; } .s-ad-sophos-mdr__action { پوزیشن: مطلق؛ دائیں: 30px؛ نیچے: 30px؛ } } @media (زیادہ سے زیادہ چوڑائی: 768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { فونٹ سائز: 1.625rem; } .s-ad-sophos-mdr__text { فونٹ سائز: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

ایپل کے عام صفر دن کے الفاظ کے ساتھ کسی بھی بگ کی اطلاع ان خطوط کے ساتھ نہیں دی گئی ہے کہ کمپنی "اس رپورٹ سے آگاہ ہے کہ اس مسئلے کا فعال طور پر استحصال کیا گیا ہے"، لہذا ایسی کوئی تجویز نہیں ہے کہ یہ کیڑے صفر دن کے ہوں، کم از کم ایپل کے ماحولیاتی نظام کے اندر۔ .

لیکن صرف دو کیڑے طے کرنے کے ساتھ، بس دو ہفتے بعد ایپل کے پیچ کی آخری قسط، شاید ایپل نے سوچا کہ یہ سوراخ استحصال کے لیے پکے ہیں اور اس طرح یہ نکال دیا کہ بنیادی طور پر ون بگ پیچ کیا ہے، یہ دیکھتے ہوئے کہ یہ سوراخ ایک ہی سافٹ ویئر کے جزو میں ظاہر ہوئے؟

نیز، یہ دیکھتے ہوئے کہ XML ڈیٹا کو پارس کرنا ایک ایسا فنکشن ہے جو خود آپریٹنگ سسٹم اور متعدد ایپس میں وسیع پیمانے پر انجام دیا جاتا ہے۔ یہ دیکھتے ہوئے کہ XML ڈیٹا اکثر غیر بھروسہ مند بیرونی ذرائع جیسے ویب سائٹس سے آتا ہے۔ اور بگز کو باضابطہ طور پر ریموٹ کوڈ پر عمل درآمد کے لیے موزوں قرار دیا گیا ہے، عام طور پر میلویئر یا اسپائی ویئر کو دور سے لگانے کے لیے استعمال کیا جاتا ہے…

…شاید ایپل نے محسوس کیا کہ یہ کیڑے اتنے خطرناک ہیں کہ وہ زیادہ دیر تک بغیر پیچ کے چھوڑ دیں؟

زیادہ ڈرامائی طور پر، شاید ایپل نے یہ نتیجہ اخذ کیا کہ جس طرح سے گوگل نے ان کیڑوں کو تلاش کیا وہ کافی واضح تھا کہ کوئی اور ان پر آسانی سے ٹھوکر کھا سکتا ہے، شاید اس کا حقیقی معنی کے بغیر، اور انہیں برا استعمال کرنا شروع کردے۔

یا شاید گوگل کے ذریعہ کیڑے کا پردہ فاش کیا گیا تھا کیونکہ کمپنی کے باہر سے کسی نے مشورہ دیا تھا کہ کہاں سے دیکھنا شروع کیا جائے، اس طرح یہ ظاہر ہوتا ہے کہ ممکنہ حملہ آوروں کو کمزوریاں پہلے سے ہی معلوم تھیں حالانکہ انہیں ابھی تک یہ نہیں معلوم تھا کہ ان کا استحصال کیسے کیا جائے؟

(تکنیکی طور پر، سائبرسیکیوریٹی گریپ وائن سے نکالے گئے بگ ہنٹنگ اشارے کی وجہ سے آپ کو دریافت نہ ہونے والی کمزوری درحقیقت صفر دن نہیں ہے اگر کسی نے ابھی تک اس سوراخ کو غلط استعمال کرنے کا طریقہ نہیں سمجھا ہے۔)