অ্যাপল ক্রোম, এজ-এ 0 সপ্তাহ আগে "2-দিনের" ব্রাউজার বাগ সংশোধন করেছে৷

অ্যাপল তার সমর্থিত পণ্যগুলির পরিসরে 50 টিরও বেশি CVE-সংখ্যাযুক্ত সুরক্ষা দুর্বলতা ঠিক করে তার সাম্প্রতিক প্যাচগুলিকে বিচ্ছিন্ন করেছে।

প্রাসঙ্গিক নিরাপত্তা বুলেটিন, আপডেট নম্বর এবং অনলাইনে কোথায় খুঁজে পাবেন তা নিম্নরূপ:

• APPLE-SA-2022-07-20-1: iOS 15.6 এবং iPadOS 15.6, বিশদ HT213346
• APPLE-SA-2022-07-20-2: macOS Monterey 12.5, বিশদ HT213345
• APPLE-SA-2022-07-20-3: macOS Big Sur 11.6.8, বিশদ HT213344
• APPLE-SA-2022-07-20-4: নিরাপত্তা আপডেট 2022-005 Catalina, বিশদ HT213343
• APPLE-SA-2022-07-20-5: টিভিওএস 15.6, বিশদ HT213342
• APPLE-SA-2022-07-20-6: OS 8.7 ঘড়ি, বিশদ HT213340
• APPLE-SA-2022-07-20-7: সাফারি 15.6, বিশদ HT213341

অ্যাপলের সাথে যথারীতি, সাফারি ব্রাউজার প্যাচগুলি সর্বশেষ macOS (Monterey) এর আপডেটগুলির পাশাপাশি iOS এবং iPad OS-এর আপডেটগুলির সাথে একত্রিত হয়৷

কিন্তু macOS এর পুরানো সংস্করণগুলির আপডেটগুলিতে Safari অন্তর্ভুক্ত নয়, তাই স্বতন্ত্র সাফারি আপডেট (দেখুন HT213341 উপরের) তাই আগের macOS সংস্করণের ব্যবহারকারীদের জন্য প্রযোজ্য (বিগ সুর এবং ক্যাটালিনা উভয়ই এখনও আনুষ্ঠানিকভাবে সমর্থিত), যাদের শুধু একটি নয়, দুটি আপডেট ডাউনলোড এবং ইনস্টল করতে হবে।

একটি সম্মানসূচক জিরো-ডে

যাইহোক, আপনি যদি macOS এর আগের সংস্করণ সহ একটি Mac পেয়ে থাকেন, সাফারির জন্য সেই দ্বিতীয় ডাউনলোড সম্পর্কে ভুলবেন না, কারণ এটি অত্যন্ত গুরুত্বপূর্ণ, অন্তত যতদূর আমরা দেখতে পাচ্ছি।

কারণ আপডেটের এই রাউন্ডের ব্রাউজার-সম্পর্কিত প্যাচগুলির মধ্যে একটি WebRTC-এর একটি দুর্বলতার সাথে সম্পর্কিত (ওয়েব রিয়েল-টাইম যোগাযোগ) পরিচিত জন্য CVE-2022-2294...

…এবং যদি সেই সংখ্যাটি পরিচিত শোনায়, তবে এটি করা উচিত, কারণ এটি একই বাগ যা ছিল একটি শূন্য-দিন হিসাবে স্থির প্রায় দুই সপ্তাহ আগে ক্রোমে গুগল (এবং এজ এ মাইক্রোসফ্ট দ্বারা) দ্বারা:

আশ্চর্যজনকভাবে, অ্যাপল এই মাসের কোনো দুর্বলতাকে "জঙ্গলে থাকার জন্য রিপোর্ট করা হয়েছে" বা "জিরো-ডে বাগ" হিসেবে ঘোষণা করেনি, যদিও উপরে উল্লিখিত প্যাচটিকে Google দ্বারা শূন্য-দিনের গর্ত বলা হয়েছে।

এটি এই কারণে যে বাগটি Safari-এ শোষণ করা ততটা সহজ নয়, বা কেবল এই কারণে যে কেউ এই বিশেষ ত্রুটির জন্য Safari-নির্দিষ্ট অসদাচরণকে খুঁজে পায়নি, আমরা আপনাকে বলতে পারি না, তবে আমরা এটিকে "সম্মানজনক" হিসাবে বিবেচনা করছি শূন্য-দিন" দুর্বলতা, এবং ফলস্বরূপ উদ্যোগীভাবে প্যাচিং।

Pwn2Own গর্ত বন্ধ

Apple 2 সালের মে মাসে কানাডায় সাম্প্রতিক Pwn2022Own প্রতিযোগিতায় জার্মান সাইবারসিকিউরিটি গবেষক ম্যানফ্রেড পলের পাওয়া বাগটিও স্পষ্টতই ঠিক করেছে।

সর্বশেষ পডকাস্ট 🎧 এখন শুনুন! Firefox & Pwn2Own, Apple এবং একটি 0-দিন… এবং গণিত যা পিথাগোরাসকে পরাজিত করেছিল।https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j

— নেকেড সিকিউরিটি (@নেকেড সিকিউরিটি) 20 পারে, 2022

ম্যানফ্রেড পল ফায়ারফক্সকে একটি দুই-পর্যায়ের বাগ দিয়ে কাজে লাগিয়েছেন যা তাকে $100,000 (প্রতিটি অংশের জন্য $50,000) উপার্জন করেছে এবং আরও $50,000 পুরস্কারের জন্য Safari-এ প্রবেশ করেছে।

প্রকৃতপক্ষে, মজিলা পলের বাগগুলির সমাধান প্রকাশ করেছে দুই দিনের মধ্যে Pwn2Own-এ তার রিপোর্ট পাওয়ার সময়:

বিপরীতে, অ্যাপল, তার পোস্ট-Pwn2Own প্যাচ সরবরাহ করতে দুই মাস সময় নিয়েছে:

ওয়েবকিট

প্রভাবঃ দূষিতভাবে তৈরি করা ওয়েব বিষয়বস্তু প্রক্রিয়াকরণ নির্বিচারে কোড সম্পাদনের দিকে নিয়ে যেতে পারে

বর্ণনা: একটি সীমার বাইরে লেখা সমস্যা উন্নত ইনপুট বৈধতা দিয়ে সমাধান করা হয়েছে।

সিভিই -2022-32792: ম্যানফ্রেড পল (@_manfp) ট্রেন্ড মাইক্রো জিরো ডে ইনিশিয়েটিভের সাথে কাজ করছেন [Pwn2Own]

মনে রাখবেন, তবে, দায়িত্বশীল প্রকাশটি Pwn2Own প্রতিযোগিতার অংশ, যার অর্থ হল যে কেউ পুরস্কার দাবি করলে শুধুমাত্র ক্ষতিগ্রস্ত বিক্রেতার কাছে তাদের শোষণের সম্পূর্ণ বিবরণ হস্তান্তর করতে হবে না, প্যাচটি আউট না হওয়া পর্যন্ত দুর্বলতা সম্পর্কে নীরব থাকতে হবে। .

অন্য কথায়, মোজিলার দুই দিনের প্যাচ ডেলিভারি সময় যতটা প্রশংসনীয় এবং উত্তেজনাপূর্ণ হতে পারে, অ্যাপলের অনেক ধীর প্রতিক্রিয়া তবুও গ্রহণযোগ্য।

Pwn2Own থেকে আপনি যে লাইভ ভিডিও স্ট্রীমগুলি দেখেছেন তা নির্দেশ করে যে আক্রমণটি আসলে কীভাবে কাজ করেছিল সে সম্পর্কে কোনও তথ্য প্রকাশ করার পরিবর্তে প্রতিটি প্রতিযোগীর আক্রমণ সফল হয়েছে কিনা। প্রতিযোগীদের দ্বারা ব্যবহৃত ভিডিও ডিসপ্লেগুলির পিছনে ক্যামেরা ছিল, যাতে আপনি প্রতিযোগীদের এবং বিচারকারীদের মুখ দেখতে পারেন, কিন্তু তারা যা টাইপ করছে বা দেখছে তা নয়৷

বহু-পর্যায়ের আক্রমণ

যথারীতি, এই আপডেটগুলিতে অ্যাপল দ্বারা প্যাচ করা অসংখ্য বাগগুলির মধ্যে দুর্বলতাগুলি অন্তর্ভুক্ত রয়েছে যা তত্ত্বগতভাবে, নির্ধারিত আক্রমণকারীদের দ্বারা একসাথে বেঁধে রাখা যেতে পারে।

একটি বাগ যে শর্তাবলী সঙ্গে তালিকাভুক্ত "রুট সুবিধা সহ একটি অ্যাপ কার্নেল বিশেষাধিকার সহ নির্বিচারে কোড কার্যকর করতে সক্ষম হতে পারে" প্রথমে ভয়ানক উদ্বেগজনক শোনাচ্ছে না।

সর্বোপরি, যদি একজন আক্রমণকারীর ইতিমধ্যেই রুট ক্ষমতা থাকে, তবে তারা আপনার কম্পিউটারের নিয়ন্ত্রণে অনেক বেশি।

কিন্তু যখন আপনি সিস্টেমের অন্য কোথাও একটি বাগ লক্ষ্য করেন যেটি সতর্কতা সহ তালিকাভুক্ত "একটি অ্যাপ রুট সুবিধা পেতে সক্ষম হতে পারে", আপনি দেখতে পারেন কিভাবে পরবর্তী দুর্বলতা আগেরটির জন্য একটি সুবিধাজনক এবং অননুমোদিত পদক্ষেপ হতে পারে।

এবং যখন আপনি একটি ইমেজ রেন্ডারিং বাগ লক্ষ্য করুন হিসাবে বর্ণিত "একটি দূষিতভাবে তৈরি করা ফাইল প্রক্রিয়াকরণ নির্বিচারে কোড সম্পাদন করতে পারে", আপনি দ্রুত দেখতে পারেন যে:

• একটি বুবি-ট্র্যাপড ওয়েব পৃষ্ঠাতে একটি চিত্র থাকতে পারে অবিশ্বস্ত কোড চালু করে.
• যে অবিশ্বস্ত কোড পারে একটি কম-সুবিধাপ্রাপ্ত অ্যাপ ইমপ্লান্ট করুন.
• অবাঞ্ছিত অ্যাপ পারে নিজের জন্য রুট ক্ষমতা অর্জন.
• এখন-রুট অ্যাপটি পারে কার্নেলের মধ্যে তার নিজস্ব দুর্বৃত্ত কোড ইনজেক্ট করুন.

অন্য কথায়, তাত্ত্বিকভাবে অন্তত, শুধুমাত্র একটি আপাতদৃষ্টিতে নির্দোষ ওয়েবসাইটের দিকে তাকিয়ে…

…আপনাকে কষ্টের ক্যাসকেডে ডুবিয়ে দিতে পারে, ঠিক সেই বিখ্যাত উক্তিটির মতো, "একটি পেরেকের জন্য, জুতা হারিয়ে গেছে; জুতার অভাবের জন্য, ঘোড়াটি হারিয়ে গেছে; একটি ঘোড়ার অভাবের জন্য, বার্তাটি হারিয়ে গেছে; একটি বার্তার অভাবের জন্য, যুদ্ধটি হেরে গিয়েছিল... সবই একটি ঘোড়ার নালের পেরেকের জন্য।"

কি করো?

তাই, বরাবরের মতো, আমরা আপনাকে তাড়াতাড়ি প্যাচ করার পরামর্শ দিই; প্রায়ই প্যাচ; সবকিছু প্যাচ করুন।

অ্যাপল, তার কৃতিত্বের জন্য, প্যাচ করা সবকিছুকে ডিফল্ট করে তোলে: আপনি কোন প্যাচগুলি স্থাপন করবেন এবং কোনটি "পরবর্তীতে" ছেড়ে দেবেন তা চয়ন করতে পারবেন না।

এই নিয়মের একমাত্র ব্যতিক্রম, যেমনটি আমরা উপরে উল্লেখ করেছি, macOS Big Sur এবং macOS Catalina-এর জন্য, আপনি একটি বিশাল ডাউনলোডে অপারেটিং সিস্টেমের বেশিরভাগ আপডেট পাবেন, তারপরে ইনস্টল করার জন্য একটি পৃথক ডাউনলোড-এবং-আপডেট প্রক্রিয়া হবে। সাফারির সর্বশেষ সংস্করণ।

সচরাচর:

• আপনার iPhone বা iPad এ: সেটিংস > সাধারণ > সফ্টওয়্যার আপডেট
• আপনার ম্যাকে: অ্যাপল মেনু > এই ম্যাক সম্পর্কে > সফ্টওয়্যার আপডেট…

---