Apple ने सक्रिय रूप से शोषित शून्य-दिन की सुरक्षा भेद्यता को ठीक करने के लिए iOS के लिए चुपचाप अधिक अपडेट रोल आउट किया है, जिसे इस महीने की शुरुआत में नए उपकरणों में पैच किया गया था। WebKit में पाई जाने वाली भेद्यता, हमलावरों को दुर्भावनापूर्ण वेब सामग्री बनाने की अनुमति दे सकती है जो उपयोगकर्ता के डिवाइस पर रिमोट कोड निष्पादन (RCE) की अनुमति देती है।
ताज़ा जानकारी बुधवार को जारी किया गया, iOS 12.5.6, निम्नलिखित मॉडलों पर लागू होता है: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 और iPod touch 6th जनरेशन।
प्रश्न में दोष (CVE-2022-32893) को Apple द्वारा WebKit में एक आउट-ऑफ़-बाउंड लेखन समस्या के रूप में वर्णित किया गया है। इसे बेहतर सीमा जाँच के साथ पैच में संबोधित किया गया था। Apple ने स्वीकार किया कि बग सक्रिय शोषण के अधीन है, और यह प्रभावित डिवाइसों के उपयोगकर्ताओं से तुरंत अपडेट करने का आग्रह कर रहा है।
Apple ने पहले ही कुछ उपकरणों के लिए भेद्यता को पैच कर दिया था - CVE-2022-32894 के रूप में ट्रैक किए गए कर्नेल दोष के साथ - अगस्त में पहले आईओएस 15.6.1 में। वह है एक अद्यतन जिसमें iPhone 6S और बाद के संस्करण, iPad Pro (सभी मॉडल), iPad Air 2 और बाद के संस्करण, iPad 5वीं पीढ़ी और बाद के, iPad मिनी 4 और बाद के संस्करण, और iPod touch (7वीं पीढ़ी) शामिल हैं।
पैच का नवीनतम दौर ऐप्पल आईओएस के पुराने संस्करणों को चलाने वाले आईफ़ोन के लिए सुरक्षा जोड़कर अपने सभी ठिकानों को कवर करता हुआ प्रतीत होता है, प्रसिद्ध सुरक्षा प्रचारक पॉल डकलिन।
"हम अनुमान लगा रहे हैं कि ऐप्पल कम से कम कुछ हाई-प्रोफाइल (या उच्च-जोखिम, या दोनों) पुराने फोन के उपयोगकर्ताओं के सामने आया होगा, जिन्हें इस तरह से समझौता किया गया था, और विशेष सावधानी के रूप में सभी के लिए सुरक्षा को बाहर करने का फैसला किया। " उन्होंने लिखा है एक पोस्ट में सोफोस नेकेड सिक्योरिटी ब्लॉग पर।
आईओएस के दोनों संस्करणों में बग को ठीक करने के लिए ऐप्पल द्वारा दोहरा कवरेज उस बदलाव के कारण है जिसमें प्लेटफॉर्म के संस्करण चलते हैं, जिस पर आईफोन, डकलिन ने समझाया।
उन्होंने कहा कि Apple द्वारा iOS 13.1 और iPadOS 13.1 जारी करने से पहले, iPhones और iPads एक ही ऑपरेटिंग सिस्टम का उपयोग करते थे, जिसे दोनों डिवाइसों के लिए iOS कहा जाता है। अब, iOS 12.x में iPhone 6 और पुराने डिवाइस शामिल हैं, जबकि iOS 13.1 और बाद के संस्करण iPhone 6s और उसके बाद जारी किए गए उपकरणों पर चलते हैं।
अन्य शून्य-दिवसीय दोष जिसे Apple ने इस महीने की शुरुआत में ठीक किया था, CVE-2022-32894, एक कर्नेल भेद्यता थी जो संपूर्ण डिवाइस के अधिग्रहण की अनुमति दे सकती है। लेकिन जबकि iOS 13 उस दोष से प्रभावित था - और इस प्रकार पहले के अपडेट में इसके लिए एक पैच मिला - यह iOS 12 को प्रभावित नहीं करता है, डकलिन ने कहा, "जो निश्चित रूप से पुराने पर ऑपरेटिंग सिस्टम के पूर्ण समझौता के जोखिम से बचाता है"। उपकरण।
वेबकिट: एक व्यापक साइबर हमले की सतह
वेबकिट एक ब्राउज़र इंजन है जो सफारी और आईओएस पर काम करने वाले अन्य सभी तृतीय-पक्ष ब्राउज़रों को शक्ति प्रदान करता है। CVE-2022-32893 का फायदा उठाकर, एक धमकी देने वाला अभिनेता एक वेबसाइट में दुर्भावनापूर्ण सामग्री बना सकता है। फिर, यदि कोई प्रभावित iPhone से साइट पर जाता है, तो अभिनेता अपने डिवाइस पर मैलवेयर को दूरस्थ रूप से निष्पादित कर सकता है।
जब उपयोगकर्ताओं को कमजोरियों से अवगत कराने की बात आती है तो सामान्य तौर पर WebKit Apple के पक्ष में एक लगातार कांटा रहा है क्योंकि यह iPhones और अन्य Apple उपकरणों से परे अन्य ब्राउज़रों तक फैलता है जो इसका उपयोग करते हैं - फ़ायरफ़ॉक्स, एज और क्रोम सहित - संभावित रूप से लाखों उपयोगकर्ताओं को खतरे में डालते हैं। एक दिया गया बग.
डकलिन ने कहा, "याद रखें कि वेबकिट बग सफारी के नीचे सॉफ्टवेयर परत पर मौजूद हैं, ताकि ऐप्पल का अपना सफारी ब्राउज़र इस भेद्यता से जोखिम में एकमात्र ऐप न हो।"
इसके अलावा, कोई भी ऐप जो सामान्य ब्राउज़िंग के अलावा अन्य उद्देश्यों के लिए iOS पर वेब सामग्री प्रदर्शित करता है - जैसे कि इसके सहायता पृष्ठों में, इसका "के बारे में" स्क्रीन, या यहां तक कि एक अंतर्निहित "मिनीब्रोसर" में - हुड के तहत वेबकिट का उपयोग करता है, उन्होंने कहा।
"दूसरे शब्दों में, सिर्फ 'सफारी से बचना' और तीसरे पक्ष के ब्राउज़र से चिपके रहना [वेबकिट बग्स के लिए] उपयुक्त समाधान नहीं है," डकलिन ने लिखा।
सेब हमले के तहत
जबकि उपयोगकर्ताओं और पेशेवरों ने पारंपरिक रूप से ऐप्पल के मैक और आईओएस प्लेटफॉर्म को माइक्रोसॉफ्ट विंडोज की तुलना में अधिक सुरक्षित माना है - और यह आम तौर पर कई कारणों से सच रहा है - ज्वार चालू होने लगा है, विशेषज्ञों का कहना है।
वास्तव में, एक उभरता हुआ खतरा परिदृश्य अधिक सर्वव्यापी वेब प्रौद्योगिकियों को लक्षित करने में अधिक रुचि दिखा रहा है, न कि स्वयं ओएस लक्ष्य बढ़ा दिया है एप्पल की पीठ पर, के अनुसार एक खतरे की रिपोर्ट जनवरी में जारी किया गया था, और कंपनी की रक्षात्मक पैचिंग रणनीति इसे दर्शाती है।
Apple ने इस साल कम से कम चार शून्य-दिन की खामियों को दूर किया है, जिसमें पिछले iOS और macOS कमजोरियों के लिए दो पैच हैं। जनवरी और एक में फरवरी - जिनमें से बाद वाले ने वेबकिट में एक और सक्रिय रूप से शोषित मुद्दा तय किया।
इसके अलावा, पिछले साल 12 में से 57 ज़ीरो-डे ने Google के प्रोजेक्ट ज़ीरो के शोधकर्ताओं को धमकी दी थी ट्रैक किए गए मैकोज़, आईओएस, आईपैडओएस और वेबकिट को प्रभावित करने वाले मुद्दों के साथ ऐप्पल से संबंधित (यानी, 20% से अधिक) थे।
