অ্যাপল নতুন ডিভাইসে এই মাসের শুরুতে প্যাচ করা সক্রিয়ভাবে শোষিত শূন্য-দিনের নিরাপত্তা দুর্বলতা ঠিক করতে আইওএস-এ আরও আপডেট নিয়ে এসেছে। WebKit-এ পাওয়া দুর্বলতা আক্রমণকারীদের ক্ষতিকারক ওয়েব সামগ্রী তৈরি করতে দেয় যা ব্যবহারকারীর ডিভাইসে রিমোট কোড এক্সিকিউশন (RCE) অনুমতি দেয়।
একটি আপডেট বুধবার প্রকাশিত হয়েছে, iOS 12.5.6, নিম্নলিখিত মডেলগুলিতে প্রযোজ্য: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 এবং iPod touch 6th প্রজন্ম৷
প্রশ্নে ত্রুটি (জন্য CVE-2022-32893) অ্যাপল দ্বারা WebKit-এ একটি সীমার বাইরে লেখা সমস্যা হিসাবে বর্ণনা করা হয়েছে। এটি উন্নত বাউন্ড চেকিংয়ের সাথে প্যাচে মোকাবেলা করা হয়েছিল। অ্যাপল স্বীকার করেছে যে বাগটি সক্রিয় শোষণের অধীনে রয়েছে এবং এটি প্রভাবিত ডিভাইসের ব্যবহারকারীদের অবিলম্বে আপডেট করার জন্য অনুরোধ করছে।
অ্যাপল ইতিমধ্যেই কিছু ডিভাইসের জন্য দুর্বলতা প্যাচ করেছে — পাশাপাশি একটি কার্নেল ত্রুটি যা CVE-2022-32894 হিসাবে ট্র্যাক করা হয়েছে — আগস্টের আগে iOS 15.6.1-এ। যে একটি আপডেট যেটি iPhone 6S এবং পরবর্তীতে, iPad Pro (সমস্ত মডেল), iPad Air 2 এবং পরবর্তী, iPad 5th প্রজন্ম এবং পরবর্তী, iPad mini 4 এবং পরবর্তী, এবং iPod touch (7ম প্রজন্ম) কভার করে।
প্যাচগুলির সর্বশেষ রাউন্ডে মনে হচ্ছে অ্যাপল আইওএস-এর পুরানো সংস্করণে চলমান আইফোনগুলির জন্য সুরক্ষা যোগ করে তার সমস্ত ঘাঁটিগুলিকে কভার করছে, প্রখ্যাত নিরাপত্তা প্রচারক পল ডকলিন৷
“আমরা অনুমান করছি যে অ্যাপল অবশ্যই অন্তত কিছু হাই-প্রোফাইল (বা উচ্চ-ঝুঁকিপূর্ণ, বা উভয়) পুরানো ফোন ব্যবহারকারীদের মধ্যে এসেছে যারা এইভাবে আপস করেছে, এবং বিশেষ সতর্কতা হিসাবে প্রত্যেকের জন্য সুরক্ষা দেওয়ার সিদ্ধান্ত নিয়েছে, " সে লিখেছিলো একটি পোস্টে সোফোস নেকেড সিকিউরিটি ব্লগে।
আইওএস-এর উভয় সংস্করণে বাগ সংশোধন করার জন্য অ্যাপলের দ্বৈত কভারেজটি প্ল্যাটফর্মের কোন সংস্করণগুলি আইফোনগুলিতে চলে তার পরিবর্তনের কারণে, ডকলিন ব্যাখ্যা করেছেন।
অ্যাপল iOS 13.1 এবং iPadOS 13.1 প্রকাশ করার আগে, iPhones এবং iPads একই অপারেটিং সিস্টেম ব্যবহার করেছিল, উভয় ডিভাইসের জন্য iOS হিসাবে উল্লেখ করা হয়, তিনি বলেছিলেন। এখন, iOS 12.x iPhone 6 এবং পূর্ববর্তী ডিভাইসগুলিকে কভার করে, যখন iOS 13.1 এবং পরবর্তী সংস্করণগুলি iPhone 6s এবং পরে প্রকাশিত ডিভাইসগুলিতে চলে৷
অন্য শূন্য-দিনের ত্রুটি যা অ্যাপল এই মাসের শুরুতে প্যাচ করেছিল, CVE-2022-32894, ছিল একটি কার্নেল দুর্বলতা যা পুরো ডিভাইস টেকওভারের অনুমতি দিতে পারে। কিন্তু যদিও iOS 13 সেই ত্রুটির দ্বারা প্রভাবিত হয়েছিল — এবং এইভাবে পূর্ববর্তী আপডেটে এটির জন্য একটি প্যাচ পেয়েছিল — এটি iOS 12-কে প্রভাবিত করে না, ডকলিন পর্যবেক্ষণ করেছেন, "যা প্রায় নিশ্চিতভাবেই অপারেটিং সিস্টেমের সম্পূর্ণ আপস হওয়ার ঝুঁকি এড়ায়" ডিভাইস
ওয়েবকিট: একটি বিস্তৃত সাইবারট্যাক সারফেস
WebKit হল ব্রাউজার ইঞ্জিন যা Safari এবং iOS-এ কাজ করে এমন অন্য সব তৃতীয় পক্ষের ব্রাউজারকে ক্ষমতা দেয়। CVE-2022-32893 শোষণ করে, একজন হুমকি অভিনেতা একটি ওয়েবসাইটে দূষিত সামগ্রী তৈরি করতে পারে। তারপরে, যদি কেউ প্রভাবিত আইফোন থেকে সাইটটি পরিদর্শন করে, অভিনেতা দূরবর্তীভাবে তার ডিভাইসে ম্যালওয়্যার চালাতে পারেন।
সাধারণভাবে WebKit অ্যাপলের পক্ষে একটি অবিরাম কাঁটা হয়ে দাঁড়িয়েছে যখন এটি ব্যবহারকারীদের দুর্বলতার মুখোমুখি করার ক্ষেত্রে আসে কারণ এটি আইফোন এবং অন্যান্য অ্যাপল ডিভাইসের বাইরে এটি ব্যবহার করে এমন অন্যান্য ব্রাউজারে ছড়িয়ে পড়ে — ফায়ারফক্স, এজ এবং ক্রোম সহ - সম্ভাব্য লক্ষ লক্ষ ব্যবহারকারীকে ঝুঁকির মধ্যে ফেলে। একটি প্রদত্ত বাগ
"মনে রাখবেন যে ওয়েবকিট বাগগুলি সাফারির নীচের সফ্টওয়্যার স্তরে ঢিলেঢালাভাবে বলতে গেলে বিদ্যমান, যাতে অ্যাপলের নিজস্ব সাফারি ব্রাউজারই এই দুর্বলতার ঝুঁকিতে থাকা একমাত্র অ্যাপ নয়," ডকলিন পর্যবেক্ষণ করেছেন৷
তদুপরি, সাধারণ ব্রাউজিং ব্যতীত অন্য উদ্দেশ্যে iOS-এ ওয়েব সামগ্রী প্রদর্শন করে এমন যেকোন অ্যাপ — যেমন এর সাহায্য পৃষ্ঠাগুলিতে, এর "সম্পর্কিত" স্ক্রীন, বা এমনকি একটি বিল্ট-ইন "মিনিব্রাউজার" - হুডের নীচে ওয়েবকিট ব্যবহার করে, তিনি যোগ করেছেন।
"অন্য কথায়, শুধু 'সাফারি এড়িয়ে যাওয়া' এবং তৃতীয় পক্ষের ব্রাউজারে লেগে থাকা [ওয়েবকিট বাগগুলির জন্য] উপযুক্ত সমাধান নয়," ডকলিন লিখেছেন৷
অ্যাপল আন্ডার অ্যাটাক
যদিও ব্যবহারকারীরা এবং পেশাদাররা একইভাবে অ্যাপলের ম্যাক এবং আইওএস প্ল্যাটফর্মগুলিকে মাইক্রোসফ্ট উইন্ডোজের চেয়ে বেশি সুরক্ষিত হিসাবে বিবেচনা করেছেন - এবং এটি সাধারণত বেশ কয়েকটি কারণে সত্য হয়েছে - বিশেষজ্ঞরা বলছেন, জোয়ার শুরু হয়েছে।
প্রকৃতপক্ষে, একটি উদীয়মান হুমকির ল্যান্ডস্কেপ আরও সর্বব্যাপী ওয়েব প্রযুক্তিকে টার্গেট করতে আরও আগ্রহ দেখাচ্ছে এবং OS নিজেই নয় লক্ষ্য প্রশস্ত করেছে আপেল এর পিছনে, অনুযায়ী একটি হুমকি রিপোর্ট জানুয়ারিতে মুক্তি পায় এবং কোম্পানির প্রতিরক্ষামূলক প্যাচিং কৌশল এটি প্রতিফলিত করে।
অ্যাপল এই বছর কমপক্ষে চারটি শূন্য-দিনের ত্রুটিগুলি প্যাচ করেছে, আগের iOS এবং macOS দুর্বলতার জন্য দুটি প্যাচ এসেছে জানুয়ারী এবং একটি ভিতরে ফেব্রুয়ারি — যার পরবর্তীটি WebKit-এ অন্য একটি সক্রিয়ভাবে শোষিত সমস্যা সমাধান করেছে।
তাছাড়া, গত বছর 12টি শূন্য-দিনের হুমকির মধ্যে 57টি গুগলের প্রজেক্ট জিরো থেকে গবেষকরা ট্র্যাক ম্যাকওএস, আইওএস, আইপ্যাডওএস এবং ওয়েবকিটকে প্রভাবিত করে এমন সমস্যাগুলির সাথে অ্যাপল-সম্পর্কিত (অর্থাৎ, 20%-এর বেশি)।
