Apple ने दो महत्वपूर्ण iOS शून्य-दिन की कमजोरियों को ठीक करने के लिए आपातकालीन सुरक्षा अपडेट जारी किए हैं, जिनका उपयोग साइबर हमलावर सक्रिय रूप से कर्नेल स्तर पर iPhone उपयोगकर्ताओं से समझौता करने के लिए कर रहे हैं।
के अनुसार Apple का सुरक्षा बुलेटिन 5 मार्च को जारी, मेमोरी-करप्शन बग दोनों खतरे वाले अभिनेताओं को मनमाने ढंग से कर्नेल पढ़ने और लिखने की क्षमताओं के साथ कर्नेल मेमोरी सुरक्षा को बायपास करने की अनुमति देते हैं:
-
सीवीई-2024-23225: आईओएस कर्नेल में पाया गया
-
सीवीई-2024-23296: आरटीकिट घटक में पाया गया
हालाँकि, Apple ने अतिरिक्त विवरण देने से इनकार कर दिया, मोबाइल सुरक्षा प्रदाता ज़िम्पेरियम में उत्पाद रणनीति के उपाध्यक्ष कृष्णा विष्णुभोटला बताते हैं कि इस तरह की खामियाँ व्यक्तियों और संगठनों के लिए जोखिम बढ़ाती हैं।
"किसी भी प्लेटफ़ॉर्म पर कर्नेल महत्वपूर्ण है क्योंकि यह सभी ऑपरेटिंग सिस्टम संचालन और हार्डवेयर इंटरैक्शन का प्रबंधन करता है," वह बताते हैं। "इसमें एक भेद्यता जो मनमानी पहुंच की अनुमति देती है, हमलावरों को सुरक्षा तंत्र को बायपास करने में सक्षम कर सकती है, जिससे संभावित रूप से संपूर्ण सिस्टम समझौता, डेटा उल्लंघन और मैलवेयर परिचय हो सकता है।"
और केवल इतना ही नहीं, बल्कि कर्नेल मेमोरी-प्रोटेक्शन बायपास एक विशेष समाधान है Apple-केंद्रित साइबर हमलावर.
बैम्बेनेक कंसल्टिंग के अध्यक्ष जॉन बैम्बेनेक कहते हैं, "एप्पल के पास ऐप्स को अन्य ऐप्स या सिस्टम के डेटा और कार्यक्षमता तक पहुंचने से रोकने के लिए मजबूत सुरक्षा है।" "कर्नेल सुरक्षा को दरकिनार करने से हमलावर को फोन को रूटकिट करने की सुविधा मिलती है ताकि वे जीपीएस, कैमरा और माइक जैसी हर चीज और क्लियरटेक्स्ट (यानी, सिग्नल) में भेजे और प्राप्त किए गए संदेशों तक पहुंच सकें।"
एप्पल बग्स: सिर्फ राष्ट्र-राज्य रूटकिटिंग के लिए नहीं
Apple के लिए अब तक शोषित शून्य-दिनों की संख्या तीन है: जनवरी में, टेक दिग्गज ने एक समझौता किया सफ़ारी वेबकिट ब्राउज़र इंजन में जीरो-डे बग का सक्रिय रूप से शोषण किया गया (सीवीई-2024-23222), एक प्रकार की भ्रम त्रुटि।
यह स्पष्ट नहीं है कि इस मामले में कौन शोषण कर रहा है, लेकिन हाल के महीनों में iOS उपयोगकर्ता स्पाइवेयर के शीर्ष लक्ष्य बन गए हैं। पिछले साल, कास्परस्की शोधकर्ताओं ने ऐप्पल जीरो-डे खामियों (सीवीई-2023-46690, सीवीई-2023-32434, सीवीई-2023-32439) की एक श्रृंखला की खोज की थी। ऑपरेशन त्रिकोणासन, एक परिष्कृत, संभावित राज्य-प्रायोजित साइबर-जासूसी अभियान जिसने विभिन्न सरकारी और कॉर्पोरेट लक्ष्यों पर iOS उपकरणों पर ट्राइएंगलडीबी जासूसी प्रत्यारोपण तैनात किया। और राष्ट्र-राज्य उपयोग के लिए प्रसिद्ध हैं एनएसओ समूह के पेगासस स्पाइवेयर को हटाने के लिए शून्य दिन आईओएस उपकरणों पर - हाल ही में भी शामिल है जॉर्डन के नागरिक समाज के खिलाफ अभियान.
हालाँकि, वियाकू में वियाकू लैब्स के उपाध्यक्ष जॉन गैलाघेर का कहना है कि हमलावरों की प्रकृति अधिक सांसारिक हो सकती है - और रोजमर्रा के संगठनों के लिए अधिक खतरनाक हो सकती है।
वह कहते हैं, "आईओएस शून्य-दिन की कमजोरियां केवल राज्य-प्रायोजित स्पाइवेयर हमलों के लिए नहीं हैं, जैसे कि पेगासस," उन्होंने कहा कि पढ़ने और लिखने के विशेषाधिकारों के साथ कर्नेल मेमोरी सुरक्षा को बायपास करने में सक्षम होना "जितना गंभीर है उतना ही गंभीर है।" उन्होंने नोट किया, "चुपके का लक्ष्य रखने वाला कोई भी ख़तरा अभिनेता शून्य-दिन के कारनामों का लाभ उठाना चाहेगा, विशेष रूप से अत्यधिक उपयोग किए जाने वाले उपकरणों, जैसे स्मार्टफ़ोन, या उच्च-प्रभाव वाले सिस्टम, जैसे IoT डिवाइस और एप्लिकेशन में।"
बेहतर इनपुट सत्यापन के साथ कमजोरियों को ठीक करने के लिए Apple उपयोगकर्ताओं को निम्नलिखित संस्करणों में अपडेट करना चाहिए: iOS 17.4, iPadOS 17.4, iOS 16.76, और iPad 16.7.6।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/ics-ot-security/patch-now-apple-zero-day-exploits-bypass-kernel-security
- :हैस
- :है
- :नहीं
- 16
- 17
- 7
- a
- योग्य
- पहुँच
- तक पहुँचने
- सक्रिय रूप से
- अभिनेताओं
- जोड़ने
- अतिरिक्त
- के खिलाफ
- एमिंग
- सब
- अनुमति देना
- की अनुमति देता है
- an
- और
- कोई
- Apple
- अनुप्रयोगों
- क्षुधा
- मनमाना
- हैं
- AS
- At
- आक्रांता
- आक्रमण
- BE
- क्योंकि
- बन
- जा रहा है
- के छात्रों
- उल्लंघनों
- ब्राउज़र
- दोष
- कीड़े
- लेकिन
- उपमार्ग
- कैमरा
- अभियान
- कर सकते हैं
- क्षमताओं
- मामला
- चक्र
- नागरिक
- पूरा
- समझौता
- भ्रम
- जुड़ा हुआ
- परामर्श
- कॉर्पोरेट
- सका
- महत्वपूर्ण
- महत्वपूर्ण
- खतरनाक
- तिथि
- डेटा ब्रीच
- तैनात
- विवरण
- डिवाइस
- की खोज
- कर
- बूंद
- e
- आपात स्थिति
- सक्षम
- त्रुटि
- विशेष रूप से
- अनिवार्य
- हर रोज़
- सब कुछ
- बताते हैं
- शोषित
- शोषण
- कारनामे
- दूर
- फिक्स
- खामियां
- निम्नलिखित
- के लिए
- प्रपत्र
- पाया
- से
- कार्यक्षमता
- हो जाता है
- विशाल
- सरकार
- जीपीएस
- समूह
- हार्डवेयर
- है
- होने
- he
- अत्यधिक
- HTTPS
- i
- नायक
- उन्नत
- in
- सहित
- व्यक्तियों
- निवेश
- बातचीत
- परिचय
- iOS
- IOT
- iot उपकरण
- iPad
- iPadOS
- iPhone
- IT
- जनवरी
- जॉन
- जेपीजी
- केवल
- Kaspersky
- लैब्स
- पिछली बार
- पिछले साल
- प्रमुख
- चलें
- स्तर
- लीवरेज
- पसंद
- संभावित
- मैलवेयर
- प्रबंधन करता है
- मार्च
- तंत्र
- याद
- संदेश
- mic के
- मोबाइल
- मोबाइल सुरक्षा
- महीने
- अधिक
- प्रकृति
- नोट्स
- अभी
- संख्या
- of
- प्रस्ताव
- on
- केवल
- परिचालन
- ऑपरेटिंग सिस्टम
- संचालन
- or
- संगठनों
- अन्य
- पैच
- कवि की उमंग
- फ़ोन
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- संभावित
- वर्तमान
- अध्यक्ष
- को रोकने के
- विशेषाधिकारों
- एस्ट्रो मॉल
- प्रदाता
- पढ़ना
- प्राप्त
- हाल
- रिहा
- शोधकर्ताओं
- जोखिम
- s
- Safari
- कहते हैं
- सुरक्षा
- भेजा
- कई
- गंभीर
- चाहिए
- संकेत
- smartphones के
- So
- अब तक
- परिष्कृत
- विशेष
- जासूसी
- स्पायवेयर
- खड़ा
- छल
- स्ट्रेटेजी
- मजबूत
- ऐसा
- प्रणाली
- सिस्टम
- लक्ष्य
- तकनीक
- तकनीकी दिग्गज
- कि
- RSI
- इन
- वे
- इसका
- धमकी
- खतरों के खिलाड़ी
- तीन
- सेवा मेरे
- ऊपर का
- <strong>उद्देश्य</strong>
- दो
- टाइप
- पर्दाफाश
- अपडेट
- अपडेट
- प्रयुक्त
- उपयोगकर्ताओं
- का उपयोग
- सत्यापन
- विविधता
- संस्करणों
- उपाध्यक्ष
- वाइस राष्ट्रपति
- कमजोरियों
- भेद्यता
- करना चाहते हैं
- वेबकिट
- प्रसिद्ध
- जब
- कौन
- मर्जी
- साथ में
- लिखना
- वर्ष
- जेफिरनेट
- जीरो-डे बग
- शून्य-दिवस भेद्यता