अभी पैच करें: एप्पल जीरो-डे बाईपास कर्नेल सुरक्षा का फायदा उठाता है

Apple ने दो महत्वपूर्ण iOS शून्य-दिन की कमजोरियों को ठीक करने के लिए आपातकालीन सुरक्षा अपडेट जारी किए हैं, जिनका उपयोग साइबर हमलावर सक्रिय रूप से कर्नेल स्तर पर iPhone उपयोगकर्ताओं से समझौता करने के लिए कर रहे हैं।

के अनुसार Apple का सुरक्षा बुलेटिन 5 मार्च को जारी, मेमोरी-करप्शन बग दोनों खतरे वाले अभिनेताओं को मनमाने ढंग से कर्नेल पढ़ने और लिखने की क्षमताओं के साथ कर्नेल मेमोरी सुरक्षा को बायपास करने की अनुमति देते हैं:

हालाँकि, Apple ने अतिरिक्त विवरण देने से इनकार कर दिया, मोबाइल सुरक्षा प्रदाता ज़िम्पेरियम में उत्पाद रणनीति के उपाध्यक्ष कृष्णा विष्णुभोटला बताते हैं कि इस तरह की खामियाँ व्यक्तियों और संगठनों के लिए जोखिम बढ़ाती हैं।

"किसी भी प्लेटफ़ॉर्म पर कर्नेल महत्वपूर्ण है क्योंकि यह सभी ऑपरेटिंग सिस्टम संचालन और हार्डवेयर इंटरैक्शन का प्रबंधन करता है," वह बताते हैं। "इसमें एक भेद्यता जो मनमानी पहुंच की अनुमति देती है, हमलावरों को सुरक्षा तंत्र को बायपास करने में सक्षम कर सकती है, जिससे संभावित रूप से संपूर्ण सिस्टम समझौता, डेटा उल्लंघन और मैलवेयर परिचय हो सकता है।"

और केवल इतना ही नहीं, बल्कि कर्नेल मेमोरी-प्रोटेक्शन बायपास एक विशेष समाधान है Apple-केंद्रित साइबर हमलावर.

बैम्बेनेक कंसल्टिंग के अध्यक्ष जॉन बैम्बेनेक कहते हैं, "एप्पल के पास ऐप्स को अन्य ऐप्स या सिस्टम के डेटा और कार्यक्षमता तक पहुंचने से रोकने के लिए मजबूत सुरक्षा है।" "कर्नेल सुरक्षा को दरकिनार करने से हमलावर को फोन को रूटकिट करने की सुविधा मिलती है ताकि वे जीपीएस, कैमरा और माइक जैसी हर चीज और क्लियरटेक्स्ट (यानी, सिग्नल) में भेजे और प्राप्त किए गए संदेशों तक पहुंच सकें।"

एप्पल बग्स: सिर्फ राष्ट्र-राज्य रूटकिटिंग के लिए नहीं

Apple के लिए अब तक शोषित शून्य-दिनों की संख्या तीन है: जनवरी में, टेक दिग्गज ने एक समझौता किया सफ़ारी वेबकिट ब्राउज़र इंजन में जीरो-डे बग का सक्रिय रूप से शोषण किया गया (सीवीई-2024-23222), एक प्रकार की भ्रम त्रुटि।

यह स्पष्ट नहीं है कि इस मामले में कौन शोषण कर रहा है, लेकिन हाल के महीनों में iOS उपयोगकर्ता स्पाइवेयर के शीर्ष लक्ष्य बन गए हैं। पिछले साल, कास्परस्की शोधकर्ताओं ने ऐप्पल जीरो-डे खामियों (सीवीई-2023-46690, सीवीई-2023-32434, सीवीई-2023-32439) की एक श्रृंखला की खोज की थी। ऑपरेशन त्रिकोणासन, एक परिष्कृत, संभावित राज्य-प्रायोजित साइबर-जासूसी अभियान जिसने विभिन्न सरकारी और कॉर्पोरेट लक्ष्यों पर iOS उपकरणों पर ट्राइएंगलडीबी जासूसी प्रत्यारोपण तैनात किया। और राष्ट्र-राज्य उपयोग के लिए प्रसिद्ध हैं एनएसओ समूह के पेगासस स्पाइवेयर को हटाने के लिए शून्य दिन आईओएस उपकरणों पर - हाल ही में भी शामिल है जॉर्डन के नागरिक समाज के खिलाफ अभियान.

हालाँकि, वियाकू में वियाकू लैब्स के उपाध्यक्ष जॉन गैलाघेर का कहना है कि हमलावरों की प्रकृति अधिक सांसारिक हो सकती है - और रोजमर्रा के संगठनों के लिए अधिक खतरनाक हो सकती है।

वह कहते हैं, "आईओएस शून्य-दिन की कमजोरियां केवल राज्य-प्रायोजित स्पाइवेयर हमलों के लिए नहीं हैं, जैसे कि पेगासस," उन्होंने कहा कि पढ़ने और लिखने के विशेषाधिकारों के साथ कर्नेल मेमोरी सुरक्षा को बायपास करने में सक्षम होना "जितना गंभीर है उतना ही गंभीर है।" उन्होंने नोट किया, "चुपके का लक्ष्य रखने वाला कोई भी ख़तरा अभिनेता शून्य-दिन के कारनामों का लाभ उठाना चाहेगा, विशेष रूप से अत्यधिक उपयोग किए जाने वाले उपकरणों, जैसे स्मार्टफ़ोन, या उच्च-प्रभाव वाले सिस्टम, जैसे IoT डिवाइस और एप्लिकेशन में।"

बेहतर इनपुट सत्यापन के साथ कमजोरियों को ठीक करने के लिए Apple उपयोगकर्ताओं को निम्नलिखित संस्करणों में अपडेट करना चाहिए: iOS 17.4, iPadOS 17.4, iOS 16.76, और iPad 16.7.6।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security