অ্যাপল জিরো-ডে হোল প্যাচ করে – এমনকি একেবারে নতুন iOS 16-তেও

আমরা iOS 16-এর জন্য অপেক্ষা করছিলাম, Apple-এর সাম্প্রতিক ইভেন্টে যেখানে iPhone 14 এবং অন্যান্য আপগ্রেড করা হার্ডওয়্যার পণ্য জনসাধারণের জন্য লঞ্চ করা হয়েছিল।

আজ সকালে, আমরা একটি করেছি সেটিংস > সাধারণ > সফ্টওয়্যার আপডেট, শুধু ক্ষেত্রে…

…কিন্তু কিছুই দেখা গেল না।

কিন্তু আজ রাত ৮টার কিছু আগে UK সময় [8-2022-09T12:18Z], আপডেট বিজ্ঞপ্তিগুলির একটি ভেলা আমাদের ইনবক্সে নেমে এসেছে, নতুন এবং আপডেট হওয়া Apple পণ্যগুলির একটি অদ্ভুত মিশ্রণের ঘোষণা করেছে৷

বুলেটিন পড়ার আগেও আমরা চেষ্টা করেছি সেটিংস > সাধারণ > সফ্টওয়্যার আপডেট আবার, এবং এই সময় আমরা একটি আপগ্রেড প্রস্তাব করা হয়েছে প্রয়োজন iOS 15.7, একটি বিকল্প আপগ্রেড সহ যা আমাদের সরাসরি নিয়ে যাবে প্রয়োজন iOS 16:

একটি আপডেট এবং একই সময়ে একটি আপগ্রেড উপলব্ধ!

(আমরা iOS 16-এ আপগ্রেড করার জন্য গিয়েছিলাম - ডাউনলোডটি ছিল মাত্র 3GB-এর নিচে, কিন্তু একবার ডাউনলোড করার প্রক্রিয়াটি আমাদের প্রত্যাশার চেয়ে দ্রুততর হয়ে গিয়েছিল এবং এখন পর্যন্ত সবকিছু ঠিকঠাক কাজ করছে বলে মনে হচ্ছে।)

আপগ্রেড না করলেও আপডেট করতে ভুলবেন না

শুধু পরিষ্কার হতে, যদি আপনি না চান আপগ্রেড iOS 16-এ এখনও, আপনার এখনও প্রয়োজন আপডেটের, কারণ প্রয়োজন iOS 15.7 এবং আইপ্যাডওএস এক্সএনএমএক্স আপডেটের মধ্যে অনেক নিরাপত্তা প্যাচ রয়েছে, যার মধ্যে একটি বাগ ডাব করা হয়েছে জন্য CVE-2022-32917.

বাগ, আবিষ্কার যা সহজভাবে জমা করা হয় "একজন বেনামী গবেষক", নিম্নরূপ বর্ণনা করা হয়:

[এতে বাগ প্যাচ করা হয়েছে:] কার্নেল এর জন্য উপলব্ধ: iPhone 6s এবং পরবর্তী, iPad Pro (সমস্ত মডেল), iPad Air 2 এবং পরবর্তী, iPad 5th প্রজন্ম এবং পরবর্তী, iPad mini 4 এবং পরবর্তী, এবং iPod touch (7th প্রজন্ম) প্রভাব: একটি অ্যাপ্লিকেশন কার্নেল বিশেষাধিকার সহ নির্বিচারে কোড কার্যকর করতে সক্ষম হতে পারে। অ্যাপল একটি রিপোর্ট সম্পর্কে সচেতন যে এই সমস্যাটি সক্রিয়ভাবে শোষণ করা হয়েছে। বর্ণনা: সমস্যাটি উন্নত বাউন্ড চেক দিয়ে সমাধান করা হয়েছে।

অ্যাপলের শেষ যখন আমরা উল্লেখ করেছি জরুরী শূন্য-দিনের প্যাচ বেরিয়ে এসেছে, একটি কার্নেল কোড এক্সিকিউশন বাগ এর মানে হল যে এমনকি নির্দোষ চেহারার অ্যাপগুলি (সম্ভবত অ্যাপ স্টোরে তৈরি করা অ্যাপগুলি সহ কারণ তারা পরীক্ষা করার সময় কোনও স্পষ্ট লাল পতাকা উত্থাপন করেনি) অ্যাপলের অ্যাপ-বাই-অ্যাপ সুরক্ষা লকডাউন থেকে মুক্ত হতে পারে…

…এবং সম্ভাব্যভাবে পুরো ডিভাইসটি দখল করে নেয়, যার মধ্যে ক্যামেরা বা ক্যামেরা ব্যবহার করা, মাইক্রোফোন সক্রিয় করা, অবস্থানের ডেটা অর্জন করা, স্ক্রিনশট নেওয়া, এনক্রিপ্ট হওয়ার আগে (বা এটি ডিক্রিপ্ট হওয়ার পরে) নেটওয়ার্ক ট্র্যাফিকের উপর স্নুপিং করার মতো সিস্টেম অপারেশন করার অধিকার দখল করা ), অন্যান্য অ্যাপের ফাইল অ্যাক্সেস করা এবং আরও অনেক কিছু।

যদি, প্রকৃতপক্ষে, এই "ইস্যু" (বা নিরাপত্তা গর্ত যেহেতু আপনি এটিকে কল করতে পছন্দ করতে পারেন) বন্য অঞ্চলে সক্রিয়ভাবে শোষণ করা হয়েছে, এটি অনুমান করা যুক্তিসঙ্গত যে সেখানে এমন অ্যাপ রয়েছে যা সন্দেহাতীত ব্যবহারকারীরা ইতিমধ্যেই ইনস্টল করেছে, যা তারা একটি বিশ্বস্ত উত্স বলে মনে করেছিল, যদিও সেই অ্যাপগুলিতে সক্রিয় করার কোড রয়েছে এবং এই দুর্বলতা অপব্যবহার.

আশ্চর্যজনকভাবে, macOS 11 (বিগ সুর) এর নিজস্ব আপডেট পায় MacOS 11.7, যা ডাব করা দ্বিতীয় শূন্য-দিনের গর্ত প্যাচ করে জন্য CVE-2022-32894, উপরে উদ্ধৃত iOS শূন্য-দিনের বুলেটিনের মতো ঠিক একই শব্দে বর্ণনা করা হয়েছে।

যাইহোক, CVE-2022-32894 শুধুমাত্র একটি বিগ সার বাগ হিসাবে তালিকাভুক্ত করা হয়েছে, আরও সাম্প্রতিক অপারেটিং সিস্টেম সংস্করণ macOS 12 (Monterey), iOS 15, iPadOS 15 এবং iOS 16 দৃশ্যত অপ্রভাবিত।

মনে রাখবেন যে একটি সুরক্ষা গর্ত যা কেবলমাত্র খারাপ ছেলেরা কীভাবে এটিকে কাজে লাগাতে হবে তা খুঁজে বের করার পরেই ঠিক করা হয়েছিল একটি হিসাবে পরিচিত জিরো-ডে কারণ এমন শূন্য দিন ছিল যে সময়ে এমনকি সবচেয়ে আগ্রহী ব্যবহারকারী বা সিসাডমিনও সক্রিয়ভাবে এর বিরুদ্ধে প্যাচ করতে পারত।

সম্পূর্ণ গল্প

বুলেটিনগুলির এই রাউন্ডে ঘোষিত আপডেটগুলির মধ্যে নিম্নলিখিতগুলি অন্তর্ভুক্ত রয়েছে৷

আমরা সেগুলিকে নীচে তালিকাভুক্ত করেছি যে ক্রমে তারা ইমেলের মাধ্যমে এসেছে (বিপরীত সাংখ্যিক ক্রম) যাতে iOS 16 নীচে প্রদর্শিত হয়:

• APPLE-SA-2022-09-12-5: সাফারি 16. এই আপডেটটি macOS Big Sur (সংস্করণ 11) এবং Monterey (সংস্করণ 12) এর ক্ষেত্রে প্রযোজ্য। ম্যাকওএস 10 (ক্যাটালিনা) এর জন্য কোনও সাফারি আপডেট তালিকাভুক্ত নেই। সংশোধন করা বাগগুলির মধ্যে দুটি রিমোট কোড এক্সিকিউশনের দিকে নিয়ে যেতে পারে, যার অর্থ হল একটি বোবি-ট্র্যাপড ওয়েবসাইট আপনার কম্পিউটারে ম্যালওয়্যার ইমপ্লান্ট করতে পারে (যা পরবর্তীতে কার্নেল স্তরে নেওয়ার জন্য CVE-2022-32917 এর অপব্যবহার করতে পারে), যদিও এই বাগগুলির কোনওটিই তালিকাভুক্ত নয় শূন্য দিন হিসেবে। (দেখা HT213442.)
• APPLE-SA-2022-09-12-4: macOS মন্টেরি 12.6 CVE-2022-32917-এর জন্য একটি ফিক্স অন্তর্ভুক্ত করার কারণে এই আপডেটটিকে জরুরী হিসাবে বিবেচনা করা যেতে পারে। (দেখা HT213444.)
• APPLE-SA-2022-09-12-3: ম্যাকোস বিগ সুর 11.7 CVE-2022-32917 জিরো-ডে সহ macOS Monterey-এর জন্য উপরে তালিকাভুক্ত প্যাচগুলির অনুরূপ ট্র্যাঞ্চ। এই বিগ সুর আপডেটটিও CVE-2022-32894 প্যাচ করে, উপরে বর্ণিত দ্বিতীয় কার্নেল শূন্য দিন। (দেখা HT213443.)
• APPLE-SA-2022-09-12-2: প্রয়োজন iOS 15.7 এবং আইপ্যাডওএস এক্সএনএমএক্স নিবন্ধের শুরুতে যেমন বলা হয়েছে, এই আপডেটগুলি প্যাচ CVE-2022-32917। (দেখা HT213445.)
• APPLE-SA-2022-09-12-1: প্রয়োজন iOS 16 বড় এক! পাশাপাশি একগুচ্ছ নতুন বৈশিষ্ট্য, এর মধ্যে রয়েছে macOS-এর জন্য আলাদাভাবে সরবরাহ করা Safari প্যাচগুলি (এই তালিকার শীর্ষে দেখুন), এবং CVE-2022-32917-এর জন্য একটি ফিক্স৷ আশ্চর্যজনকভাবে, iOS 16 আপগ্রেড বুলেটিন এটির পরামর্শ দেয় "[a]অতিরিক্ত CVE এন্ট্রি শীঘ্রই যোগ করা হবে", কিন্তু শূন্য-দিন হিসাবে CVE-2022-23917 বোঝায় না। কেন যে iOS 16 এখনও আনুষ্ঠানিকভাবে "বন্যের মধ্যে" হিসাবে বিবেচিত হয়নি, বা পরিচিত শোষণ এখনও একটি আনপ্যাচড iOS 16 বিটাতে কাজ করে না, আমরা আপনাকে বলতে পারি না। কিন্তু প্রকৃতপক্ষে বাগটি iOS 15 থেকে iOS 16 কোডবেসে নিয়ে যাওয়া হয়েছে বলে মনে হচ্ছে। (দেখা HT213446.)

কি করো?

যথারীতি, প্রারম্ভিক প্যাচ, প্রায়ই প্যাচ.

iOS 15 থেকে একটি পূর্ণাঙ্গ আপগ্রেড প্রয়োজন iOS 16.0, যেমনটি ইনস্টলেশনের পরে নিজেই রিপোর্ট করে, iOS 15-এ পরিচিত বাগগুলি প্যাচ করবে। (আমরা এখনও iPadOS 16-এর জন্য কোনও ঘোষণা দেখিনি।)

আপনি যদি এখনও আপগ্রেডের জন্য প্রস্তুত না হন তবে আপগ্রেড করতে ভুলবেন না প্রয়োজন iOS 15.7, কারণ শূন্য-দিন কার্নেল গর্ত.

আইপ্যাডগুলিতে, যার জন্য iOS 16 এখনও উল্লেখ করা হয়নি, ধরুন আইপ্যাডওএস এক্সএনএমএক্স এখনই - iPadOS 16 বের হওয়ার জন্য অপেক্ষা করে ফিরে আসবেন না, এই শর্তে যে আপনি অকারণে নিজেকে একটি পরিচিত শোষণযোগ্য কার্নেল ত্রুটির মুখোমুখি হতে চলেছেন।

ম্যাকগুলিতে, মন্টেরি এবং বিগ সুর একটি ডাবল-আপডেট পান, একটি সাফারি প্যাচ করার জন্য, যা হয়ে যায় সাফারি 16, এবং অপারেটিং সিস্টেমের জন্য একটি, যা আপনাকে নিয়ে যাবে MacOS 11.7 (বড় সুর) বা MacOS 12.6 (মন্টেরি)।

এইবার iOS 12-এর জন্য কোনও প্যাচ নেই, এবং macOS 10 (ক্যাটালিনা)-এর কোনও উল্লেখ নেই – ক্যাটালিনা এখন আর সমর্থিত নয়, বা এই বাগগুলির মধ্যে যেকোনও অন্তর্ভুক্ত করার জন্য খুব পুরানো, আমরা আপনাকে বলতে পারি না।

যেকোনো CVE আপডেটের জন্য এই স্থানটি দেখুন!

---