এখন প্যাচ করুন: অ্যাপল জিরো-ডে বাইপাস কার্নেল সুরক্ষা শোষণ করে

অ্যাপল দুটি গুরুত্বপূর্ণ আইওএস জিরো-ডে দুর্বলতা ঠিক করতে জরুরি নিরাপত্তা আপডেট প্রকাশ করেছে যা সাইবার আক্রমণকারীরা কার্নেল স্তরে আইফোন ব্যবহারকারীদের সাথে আপস করার জন্য সক্রিয়ভাবে ব্যবহার করছে।

অনুসারে অ্যাপলের নিরাপত্তা বুলেটিন 5 মার্চ প্রকাশিত, মেমরি-কর্পশন বাগ উভয়ই কার্নেল মেমরি সুরক্ষা বাইপাস করার জন্য নির্বিচারে কার্নেল রিড এবং লেখার ক্ষমতা সহ হুমকি অভিনেতাদের অনুমতি দেয়:

অ্যাপল, গঠনে সত্য, অতিরিক্ত বিবরণ দিতে অস্বীকৃতি জানালেও, মোবাইল নিরাপত্তা প্রদানকারী জিম্পেরিয়ামের পণ্য কৌশলের ভাইস প্রেসিডেন্ট কৃষ্ণা বিষ্ণুভোটলা ব্যাখ্যা করেছেন যে এই ধরনের ত্রুটিগুলি ব্যক্তি এবং সংস্থার জন্য ঝুঁকি বাড়িয়ে তোলে।

"যেকোনো প্ল্যাটফর্মের কার্নেল অত্যন্ত গুরুত্বপূর্ণ কারণ এটি সমস্ত অপারেটিং সিস্টেম অপারেশন এবং হার্ডওয়্যার মিথস্ক্রিয়া পরিচালনা করে," তিনি ব্যাখ্যা করেন। "এতে একটি দুর্বলতা যা নির্বিচারে অ্যাক্সেসের অনুমতি দেয় আক্রমণকারীদের নিরাপত্তা ব্যবস্থাকে বাইপাস করতে সক্ষম করে, সম্ভাব্যভাবে একটি সম্পূর্ণ সিস্টেম আপস, ডেটা লঙ্ঘন এবং ম্যালওয়্যার প্রবর্তনের দিকে পরিচালিত করে।"

এবং শুধু তাই নয়, কার্নেল মেমরি-সুরক্ষা বাইপাস এর জন্য একটি বিশেষ প্লাম অ্যাপল-কেন্দ্রিক সাইবার আক্রমণকারীরা.

বামবেনেক কনসাল্টিং-এর প্রেসিডেন্ট জন ব্যাম্বেনেক বলেছেন, "অ্যাপগুলিকে ডেটা এবং অন্যান্য অ্যাপ বা সিস্টেমের কার্যকারিতা অ্যাক্সেস করা থেকে বিরত রাখতে অ্যাপলের শক্তিশালী সুরক্ষা রয়েছে।" "কার্ণেল সুরক্ষাগুলিকে বাইপাস করা মূলত একজন আক্রমণকারীকে ফোন রুটকিট করতে দেয় যাতে তারা GPS, ক্যামেরা এবং মাইক এবং ক্লিয়ারটেক্সটে (যেমন, সংকেত) পাঠানো এবং প্রাপ্ত বার্তাগুলির মতো সবকিছু অ্যাক্সেস করতে পারে।"

অ্যাপল বাগ: শুধু জাতি-রাষ্ট্র রুটকিটিং এর জন্য নয়

অ্যাপলের জন্য শোষিত শূন্য-দিনের সংখ্যা এখন পর্যন্ত তিনে দাঁড়িয়েছে: জানুয়ারিতে, টেক জায়ান্ট একটি প্যাচ করেছিল Safari WebKit ব্রাউজার ইঞ্জিনে সক্রিয়ভাবে শূন্য-দিনের বাগ ব্যবহার করা হয়েছে (CVE-2024-23222), একটি ধরনের বিভ্রান্তি ত্রুটি।

কে এই ক্ষেত্রে শোষণ করছে তা স্পষ্ট নয়, তবে সাম্প্রতিক মাসগুলিতে iOS ব্যবহারকারীরা স্পাইওয়্যারের জন্য শীর্ষ লক্ষ্য হয়ে উঠেছে। গত বছর, ক্যাসপারস্কি গবেষকরা অ্যাপলের শূন্য-দিনের ত্রুটিগুলির একটি সিরিজ আবিষ্কার করেছিলেন (CVE-2023-46690, CVE-2023-32434, CVE-2023-32439) এর সাথে সংযুক্ত অপারেশন ট্রায়াঙ্গুলেশন, একটি পরিশীলিত, সম্ভবত রাষ্ট্র-স্পন্সর করা সাইবার-গুপ্তচরবৃত্তি প্রচারাভিযান যা বিভিন্ন সরকারী এবং কর্পোরেট লক্ষ্যে iOS ডিভাইসে TriangleDB গুপ্তচরবৃত্তি ইমপ্লান্ট স্থাপন করেছে। এবং জাতি-রাষ্ট্রগুলি ব্যবহারের জন্য সুপরিচিত এনএসও গ্রুপের পেগাসাস স্পাইওয়্যার বাদ দিতে শূন্য-দিন iOS ডিভাইসে - সাম্প্রতিক সহ জর্ডানের নাগরিক সমাজের বিরুদ্ধে প্রচারণা.

যাইহোক, ভায়াকুতে ভায়াকু ল্যাবসের ভাইস প্রেসিডেন্ট জন গ্যালাঘের বলেছেন, আক্রমণকারীদের প্রকৃতি আরও জাগতিক - এবং দৈনন্দিন প্রতিষ্ঠানের জন্য আরও বিপজ্জনক হতে পারে।

"iOS শূন্য-দিনের দুর্বলতাগুলি শুধুমাত্র রাষ্ট্র-স্পন্সরড স্পাইওয়্যার আক্রমণের জন্য নয়, যেমন পেগাসাস," তিনি বলেছেন, পড়ার এবং লেখার সুবিধাগুলি থাকার সময় কার্নেল মেমরি সুরক্ষাগুলিকে বাইপাস করতে সক্ষম হওয়া "যতটা গুরুতর"। তিনি নোট করেছেন, "যেকোন হুমকি অভিনেতা স্টিলথের লক্ষ্যে শূন্য-দিনের শোষণের সুবিধা নিতে চাইবে, বিশেষত স্মার্টফোনের মতো উচ্চ-ব্যবহৃত ডিভাইসে, বা আইওটি ডিভাইস এবং অ্যাপ্লিকেশনগুলির মতো উচ্চ-প্রভাবিত সিস্টেমে।"

উন্নত ইনপুট বৈধতার সাথে দুর্বলতাগুলি প্যাচ করতে Apple ব্যবহারকারীদের নিম্নলিখিত সংস্করণগুলিতে আপডেট করা উচিত: iOS 17.4, iPadOS 17.4, iOS 16.76 এবং iPad 16.7.6৷

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security