অ্যাপল যে সাম্প্রতিক "র‍্যাপিড রেসপন্স" স্পাইওয়্যার প্যাচটি সবার কাছে পাঠিয়েছে, সেকেন্ড জিরো-ডে ফিক্স করে

দুই সপ্তাহ আগে, আমরা সাম্প্রতিক হার্ডওয়্যার সহ অ্যাপল ব্যবহারকারীদের কোম্পানির দ্বিতীয়বার দখল করার জন্য অনুরোধ করেছি দ্রুত প্রতিক্রিয়া প্যাচ.

আমরা সেই সময়ে উল্লেখ করেছি, এটি একটি ওয়েব-ব্রাউজিং নিরাপত্তা গর্ত বন্ধ করার জন্য একটি জরুরী বাগ ফিক্স যা দৃশ্যত ব্যবহার করা হয়েছিল বাস্তব বিশ্বের স্পাইওয়্যার আক্রমণ:

কম্পোনেন্ট: ওয়েবকিট ইমপ্যাক্ট: ওয়েব কন্টেন্ট প্রসেস করলে ইচ্ছামত কোড এক্সিকিউশন হতে পারে। অ্যাপল একটি রিপোর্ট সম্পর্কে সচেতন যে এই সমস্যাটি সক্রিয়ভাবে শোষণ করা হয়েছে। বর্ণনা: সমস্যাটি উন্নত চেকের মাধ্যমে সমাধান করা হয়েছে। CVE-2023-37450: একজন বেনামী গবেষক

শূন্য-ক্লিক আক্রমণের পরবর্তী-সর্বোত্তম জিনিস

টেকনিক্যালি, কোড এক্সিকিউশন বাগগুলি যা আপনাকে এমন একটি ওয়েব পৃষ্ঠা দেখার দ্বারা ট্রিগার করা যেতে পারে যেখানে বুবি-ট্র্যাপড সামগ্রী রয়েছে তা তথাকথিত হিসাবে গণনা করা হয় না শূন্য ক্লিক করুন আক্রমণ।

একটি সত্যিকারের জিরো-ক্লিক অ্যাটাক হল যেখানে সাইবার অপরাধীরা আপনার ডিভাইসটি দখল করতে পারে কারণ এটি চালু এবং একটি নেটওয়ার্কের সাথে সংযুক্ত।

সুপরিচিত উদাহরণ কুখ্যাত অন্তর্ভুক্ত কোড রেড এবং জেলখানা 2000-এর দশকের গোড়ার দিকের কৃমি যা মাত্র কয়েক ঘণ্টার মধ্যে বিশ্বব্যাপী ছড়িয়ে পড়ে নতুন ভিকটিম কম্পিউটার খুঁজে বের করার মাধ্যমে, বা কিংবদন্তি 1988 সালের মরিস ওয়ার্ম যেটি তার স্রষ্টা এটি প্রকাশ করার সাথে সাথেই বিশ্বব্যাপী ছড়িয়ে পড়ে।

মরিস, নামীয় কীটের লেখক, দৃশ্যত প্রতিটি সম্ভাব্য শিকারকে একবার সংক্রামিত করে তার "পরীক্ষার" পার্শ্ব-প্রতিক্রিয়া সীমিত করার উদ্দেশ্য করেছিলেন। কিন্তু তিনি এমন কোড যোগ করেছেন যে কৃমির ক্র্যাশ বা জাল সংস্করণগুলির বিরুদ্ধে একটি বীমা পলিসি হিসাবে এলোমেলোভাবে এবং মাঝে মাঝে বিদ্যমান ভিকটিমদের পুনরায় সংক্রামিত করে যা অন্যথায় সংক্রামক বলে মনে হয় তবে তা নয় এমন কম্পিউটারগুলি এড়াতে কীটটিকে প্রতারণা করতে পারে। মরিস ইচ্ছাকৃতভাবে কম্পিউটারগুলিকে 1/7 তম সময়ের মধ্যে পুনরায় সংক্রামিত করার সিদ্ধান্ত নিয়েছিলেন, তবে এটি খুব বেশি আক্রমণাত্মক হয়ে উঠল। তাই কীটটি দ্রুত ইন্টারনেটকে অভিভূত করে বারবার আক্রান্তদের সংক্রমিত করে যতক্ষণ না তারা অন্য সবাইকে আক্রমণ করা ছাড়া অন্য কিছু করছে না।

কিন্তু একটি লুক-এন্ড-গেট-পেনড আক্রমণ, একটি নামেও পরিচিত ড্রাইভ দ্বারা ইনস্টল, যেখানে শুধুমাত্র একটি ওয়েব পৃষ্ঠার দিকে তাকানো অদৃশ্যভাবে ম্যালওয়্যার ইমপ্লান্ট করতে পারে, যদিও আপনি কোনো অতিরিক্ত বোতামে ক্লিক করেন না বা কোনো পপ-আপ অনুমোদন করেন না, আক্রমণকারীর জন্য পরবর্তী সেরা জিনিস।

সর্বোপরি, আপনি স্পষ্টভাবে অনুমতি না দেওয়া পর্যন্ত আপনার ব্রাউজার কোনো অননুমোদিত প্রোগ্রাম ডাউনলোড এবং চালানোর কথা নয়।

আপনি যেমন কল্পনা করতে পারেন, বদমাশরা আপনার কম্পিউটার বা আপনার ফোনকে সম্পূর্ণরূপে দখল করতে সেকেন্ড, কার্নেল-লেভেল কোড এক্সিকিউশন বাগের সাথে একটি লুক-এন্ড-গেট-পিউনড এক্সপ্লয়েটকে একত্রিত করতে পছন্দ করে।

ব্রাউজার-ভিত্তিক শোষণগুলি প্রায়ই আক্রমণকারীদের সীমিত ফলাফল দেয়, যেমন ম্যালওয়্যার যা শুধুমাত্র আপনার ব্রাউজিং গুপ্তচরবৃত্তি করতে পারে (যেমন এটি নিজের মতই খারাপ), বা আপনার ব্রাউজার প্রস্থান করার পরে বা আপনার ডিভাইস রিবুট করার পরেও চলতে থাকবে না।

কিন্তু যদি ম্যালওয়্যারটি আক্রমণকারীরা একটি প্রাথমিক ব্রাউজার হোলের মাধ্যমে চালায় বিশেষভাবে চেইনের দ্বিতীয় বাগটি কাজে লাগানোর জন্য কোড করা হয়, তাহলে তারা অবিলম্বে অপারেটিং সিস্টেম স্তরে আপনার সম্পূর্ণ ডিভাইসটি দখল করে ব্রাউজার অ্যাপে প্রয়োগ করা যেকোনো সীমাবদ্ধতা বা স্যান্ডবক্সিং থেকে রক্ষা পায়। .

সাধারণত, এর মানে হল যে তারা আপনার চালানো প্রতিটি অ্যাপ, এমনকি অপারেটিং সিস্টেমেও গুপ্তচরবৃত্তি করতে পারে, সেইসাথে আপনার ডিভাইসের স্টার্টআপ পদ্ধতির একটি অফিসিয়াল অংশ হিসাবে তাদের ম্যালওয়্যার ইনস্টল করতে পারে, এইভাবে অদৃশ্যভাবে এবং স্বয়ংক্রিয়ভাবে যেকোনও থেকে বেঁচে যায় সতর্কতামূলক রিবুট আপনি পারফর্ম করতে পারেন।

---

---

আরও ইন-দ্য-ওয়াইল্ড আইফোন ম্যালওয়্যার গর্ত

অ্যাপল এখন কোম্পানি সমর্থন করে এমন প্রতিটি সমর্থিত অপারেটিং সিস্টেম সংস্করণের জন্য সম্পূর্ণ নতুন সংস্করণ নম্বর সহ সম্পূর্ণ আকারের সিস্টেম আপগ্রেডগুলিকে ঠেলে দিয়েছে।

এই সর্বশেষ আপডেটের পরে, আপনি নীচে তালিকাভুক্ত অ্যাপল নিরাপত্তা বুলেটিনে নথিভুক্ত হিসাবে নিম্নলিখিত সংস্করণ নম্বরগুলি দেখতে পাবেন:

পাশাপাশি উপরে উল্লিখিত CVE-2023-37450 শোষণের জন্য একটি স্থায়ী সমাধান সহ (এভাবে যারা দ্রুত প্রতিক্রিয়া এড়িয়ে গেছেন বা যাদের পুরানো ডিভাইসগুলি যোগ্য ছিল না তাদের প্যাচ করা হচ্ছে), এই আপডেটগুলি এই তালিকাভুক্ত বাগ মোকাবেলাও করে:

উপাদান: কার্নেল প্রভাব: একটি অ্যাপ সংবেদনশীল কার্নেল অবস্থা পরিবর্তন করতে সক্ষম হতে পারে। Apple একটি রিপোর্ট সম্পর্কে সচেতন যে এই সমস্যাটি iOS 15.7.1 এর আগে প্রকাশিত iOS এর সংস্করণগুলির বিরুদ্ধে সক্রিয়ভাবে শোষণ করা হতে পারে। বর্ণনা: এই সমস্যাটি উন্নত রাষ্ট্রীয় ব্যবস্থাপনার মাধ্যমে সমাধান করা হয়েছিল। CVE-2023-38606: ভ্যালেন্টিন পাশকভ, মিখাইল ভিনোগ্রাডভ, জর্জি কুচেরিন (@কুচার1n), লিওনিড বেজভারশেঙ্কো (@bzvr_), এবং ক্যাসপারস্কির বরিস লারিন (@oct0xor)

অ্যাপলের পূর্ববর্তী সিস্টেম-স্তরের আপডেটের আমাদের লেখার মতো জুন 2023 এর শেষের দিকে, দুটি ইন-দ্য-ওয়াইল্ড হোল যা এইবার তালিকা তৈরি করেছে একটি ওয়েবকিট বাগ এবং একটি কার্নেল ত্রুটির সাথে মোকাবিলা করেছে, ওয়েবকিট-স্তরের বাগটি আবার "একজন বেনামী গবেষক" এবং কার্নেল-স্তরের বাগটিকে আবারও দায়ী করা হয়েছে রাশিয়ান অ্যান্টি-ভাইরাস পোশাক ক্যাসপারস্কি।

আমরা তাই অনুমান করছি যে এই প্যাচ তথাকথিত সম্পর্কিত ত্রিভুজ ট্রোজান ম্যালওয়্যার, প্রথম ক্যাসপারকি দ্বারা রিপোর্ট করা হয়েছিল জুন 2023 এর শুরুতে, কোম্পানিটি খুঁজে পাওয়ার পরে যে আইফোনগুলি তার নিজস্ব কিছু কর্মীদের অন্তর্ভুক্ত ছিল সক্রিয়ভাবে সংক্রামিত স্পাইওয়্যার সহ:

কি করো?

আবারও, আমরা আপনাকে অনুরোধ করছি যে আপনার অ্যাপল ডিভাইসগুলি যত তাড়াতাড়ি সম্ভব এই আপডেটগুলি ডাউনলোড করেছে (এবং প্রকৃতপক্ষে ইনস্টল হয়েছে!)।

যদিও আমরা সবসময় আপনাকে অনুরোধ করি তাড়াতাড়ি প্যাচ করুন/প্রায়ই প্যাচ করুন, এই আপগ্রেডগুলির সংশোধনগুলি কেবল তাত্ত্বিক গর্তগুলি বন্ধ করার জন্য নয়৷

এখানে, আপনি সাইবার নিরাপত্তা ত্রুটিগুলি বন্ধ করছেন যা আক্রমণকারীরা ইতিমধ্যেই জানে কিভাবে শোষণ করতে হয়।

এমনকি পুরানো আইফোনের বিরুদ্ধে সীমিত সংখ্যক সফল অনুপ্রবেশের মধ্যেও যদি দুর্বৃত্তরা কেবল সেগুলি ব্যবহার করে থাকে…

…আপনি যখন এগিয়ে যেতে পারেন তখন কেন পিছনে থাকবেন?

এবং যদি ট্রায়াঙ্গুলেশন ট্রোজান ম্যালওয়্যার থেকে রক্ষা করা নিজে থেকেই আপনাকে বোঝানোর জন্য যথেষ্ট না হয়, তবে ভুলে যাবেন না যে এই আপডেটগুলি অসংখ্য তাত্ত্বিক আক্রমণের বিরুদ্ধেও প্যাচ করে যা অ্যাপল এবং অন্যান্য গুড গেইজগুলি সক্রিয়ভাবে খুঁজে পেয়েছিল, যার মধ্যে কার্নেল-লেভেল কোড এক্সিকিউশন হোল, উচ্চতা সহ -অফ-প্রিভিলেজ বাগ, এবং ডেটা ফাঁস ত্রুটি।

সর্বদা হিসাবে, যাও মাথা সেটিংস > সাধারণ > সফ্টওয়্যার আপডেট আপনি এই জরুরী প্যাচটি সঠিকভাবে গ্রহণ করেছেন এবং ইনস্টল করেছেন কিনা তা পরীক্ষা করতে, অথবা সারির সামনে ঝাঁপিয়ে পড়তে এবং যদি না থাকেন তবে এখনই এটি আনুন৷

(বিঃদ্রঃ. পুরানো ম্যাকগুলিতে, ব্যবহার করে আপডেটগুলি পরীক্ষা করুন৷ এই ম্যাক সম্পর্কে > সফ্টওয়্যার আপডেট… পরিবর্তে.)

---

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://nakedsecurity.sophos.com/2023/07/25/apple-ships-that-recent-rapid-response-spyware-patch-to-everyone-fixes-a-second-zero-day/