Apple ने चुपचाप अपना नवीनतम जीरो-डे अपडेट वापस ले लिया - अब क्या?

बेटरिज का हेडलाइंस का नियम इस बात पर जोर देता है कि प्रश्न के रूप में प्रस्तुत किसी भी शीर्षक का तुरंत सरल "नहीं" में उत्तर दिया जा सकता है।

जाहिरा तौर पर, इस व्यंग्यवाद के पीछे सिद्धांत (यह वास्तव में एक कानून नहीं है, न ही अभी तक एक नियम है, न ही वास्तव में एक सुझाव से अधिक कुछ भी) यह है कि यदि लेखक को पता था कि वे किस बारे में बात कर रहे थे, और उनके मामले का समर्थन करने के लिए वास्तविक सबूत थे, उन्होंने शीर्षक को एक निर्विवाद तथ्य के रूप में लिखा होगा।

खैर, हम यहां नेकेड सिक्योरिटी पर पत्रकार नहीं हैं, इसलिए सौभाग्य से हम इस कानून से बंधे नहीं हैं।

उपरोक्त शीर्षक में हमारे अपने प्रश्न का निर्मम उत्तर है, "Apple के अलावा कोई नहीं जानता, और Apple नहीं कह रहा है।"

एक बेहतर लेकिन स्वीकार्य रूप से मध्यमार्गी उत्तर है, "रुको और देखो।"

त्वरित प्रतिक्रिया

यह कहानी कल देर रात, 2023-06-10 यूके समय के अंत में शुरू हुई, जब हम उत्साहित थे [क्या आपका मतलब 'उत्साहजनक' है? - एड.] ने एप्पल के बारे में एक सलाह लिखी दूसरी कभी तीव्र सुरक्षा प्रतिक्रिया (आरएसआर):

ये आरएसआर हमारी ही तरह हैं पहले समझाया, ऐप्पल का एकल-समस्या आपातकालीन समाधान को तुरंत प्रदान करने का प्रयास, जैसा कि आमतौर पर अच्छी तरह से प्रबंधित ओपन सोर्स प्रोजेक्ट करता है, जहां जीरो-डे पैच अक्सर समस्या पाए जाने के एक या दो दिन के भीतर सामने आते हैं, जिसके बाद अपडेट-टू-द-अपडेट होते हैं। यदि आगे की जांच से अन्य मुद्दों का पता चलता है जिन्हें ठीक करने की आवश्यकता है तो तुरंत।

ओपन सोर्स प्रोजेक्ट्स द्वारा इस प्रकार का दृष्टिकोण अपनाने का एक कारण यह है कि वे आम तौर पर हर आधिकारिक तौर पर जारी किए गए संस्करण के पूर्ण स्रोत कोड के साथ एक डाउनलोड पेज प्रदान करते हैं, ताकि यदि आप दिनों या दिनों के बजाय घंटों में नवीनतम सुधारों को अपनाने में जल्दबाजी करें। सप्ताह, और वे काम नहीं करते हैं, जब तक फिक्स-फॉर-द-फिक्स तैयार नहीं हो जाता, तब तक पिछले संस्करण पर वापस जाने में कोई बाधा नहीं है।

हालाँकि, Apple का आधिकारिक अपग्रेड मार्ग, कम से कम अपने मोबाइल उपकरणों के लिए, हमेशा पूर्ण, सिस्टम-स्तरीय पैच की आपूर्ति करना रहा है जिन्हें कभी भी वापस नहीं लाया जा सकता है, क्योंकि Apple को उपयोगकर्ताओं द्वारा जानबूझकर अपने स्वयं के सिस्टम को डाउनग्रेड करने का विचार पसंद नहीं है। अपने स्वयं के उपकरणों को जेलब्रेक करने या वैकल्पिक ऑपरेटिंग सिस्टम स्थापित करने के उद्देश्य से पुराने बग का शोषण करें।

परिणामस्वरूप, जब Apple ने शून्य-दिवसीय छिद्रों के लिए आपातकालीन एक-बग या दो-बग फिक्स का उत्पादन किया, जिनका पहले से ही सक्रिय रूप से शोषण किया जा रहा था, तब भी कंपनी को कुछ ऐसा करने की आवश्यकता थी (और आपको उस पर अपना विश्वास रखने की आवश्यकता थी) जो अनिवार्य रूप से एक था एक तरफ़ा रास्ता उन्नयन, भले ही आपको वास्तव में न्यूनतम आवश्यकता थी अद्यतन सिस्टम के एक घटक को स्पष्ट और वर्तमान खतरे को पैच करने के लिए।

आरएसआर प्रक्रिया दर्ज करें, जिससे त्वरित पैच की अनुमति मिलती है जिसे आप जल्दी से इंस्टॉल कर सकते हैं, जिसके लिए आपको बार-बार रीबूट करने के लिए 15 से 45 मिनट तक अपने फोन को ऑफ़लाइन रखने की आवश्यकता नहीं होती है, और जिसे आप बाद में हटा सकते हैं (और पुनः इंस्टॉल कर सकते हैं, और हटा सकते हैं, और) इत्यादि) यदि आप तय करते हैं कि इलाज बीमारी से भी बदतर था।

आरएसआर के माध्यम से अस्थायी रूप से ठीक किए गए बग को अगले पूर्ण संस्करण अपग्रेड में स्थायी रूप से ठीक कर दिया जाएगा...

...ताकि आरएसआर को अपने स्वयं के बिल्कुल नए संस्करण नंबर की आवश्यकता न हो या उसे प्राप्त न हो।

इसके बजाय, उन्हें एक अनुक्रम पत्र संलग्न मिलता है, ताकि iOS 16.5.1 के लिए पहला रैपिड सिक्योरिटी रिस्पांस (जो कल सामने आया) प्रदर्शित हो सेटिंग > सामान्य जानकारी > About as 16.5.1 (एक).

(हम नहीं जानते कि यदि क्रम कभी भी आगे बढ़ता है तो क्या होगा (z), लेकिन हम उत्तर पर एक छोटा सा दांव लगाने को तैयार होंगे (aa), या शायद (za) यदि वर्णमाला क्रमबद्धता को महत्वपूर्ण माना जाता है।)

आज की बात करो कल को भूल जाओ

वैसे भी, सभी को iOS और iPadOS 16.5.1 (a) प्राप्त करने की सलाह देने के कुछ ही घंटों बाद, क्योंकि यह Apple के WebKit कोड में शून्य-दिन के शोषण को ठीक करता है और इसलिए लगभग निश्चित रूप से स्पाइवेयर को इम्प्लांट करने या हथियाने जैसे मैलवेयर के लिए इसका दुरुपयोग किया जा सकता है। आपके फ़ोन से निजी डेटा...

...टिप्पणीकर्ता (जॉन माइकल लेस्ली को विशेष धन्यवाद, जिन्होंने तैनात हमारे फेसबुक पेज पर) ने रिपोर्ट करना शुरू कर दिया कि जब वे उपयोग कर रहे थे तो अपडेट अब दिखाई नहीं दे रहा था सेटिंग > सामान्य जानकारी > सॉफ्टवेयर अद्यतन अपने उपकरणों को अद्यतन करने का प्रयास करने के लिए।

एप्पल के अपने सुरक्षा पोर्टल अभी भी [2023-07-11T15:00:00Z] नवीनतम अपडेट्स को इस प्रकार सूचीबद्ध करता है मैकओएस 13.4.1 (ए) और आईओएस/आईपैडओएस 16.5.1 (ए), दिनांक 2023-07-10, इस बारे में कोई नोट नहीं है कि उन्हें आधिकारिक तौर पर निलंबित किया गया है या नहीं।

परंतु रिपोर्टों MacRumors साइट के माध्यम से पता चलता है कि अपडेट को फिलहाल वापस ले लिया गया है।

एक सुझाया गया कारण यह है कि ऐप्पल का सफ़ारी ब्राउज़र अब उपयोगकर्ता-एजेंट स्ट्रिंग के साथ वेब अनुरोधों में खुद को पहचानता है जिसमें उपांग शामिल है (a) इसके वेरायन नंबर में.

जब हमने आईओएस पर अपने अपडेटेड सफारी ब्राउज़र को लिसनिंग टीसीपी सॉकेट (सुपाठ्यता में सुधार के लिए लाइन ब्रेक के साथ स्वरूपित) पर इंगित किया तो हमने क्या देखा:

$ ncat -vv -l 9999 Ncat: संस्करण 7.94 ( https://nmap.org/ncat ) Ncat: :::9999 पर सुन रहा हूं Ncat: 0.0.0.0:9999 पर सुन रहा हूं Ncat: 10.42.42.1 से कनेक्शन। एनकैट: 10.42.42.1:13337 से कनेक्शन। प्राप्त करें / HTTP/1.1 होस्ट: 10.42.42.42:9999 अपग्रेड-असुरक्षित-अनुरोध: 1 स्वीकार करें: टेक्स्ट/एचटीएमएल,एप्लिकेशन/xhtml+xml, एप्लिकेशन/xml;q=0.9,*/*;q=0.8 उपयोगकर्ता-एजेंट: मोज़िला/5.0 (आईफोन; मैक ओएस एक्स की तरह सीपीयू आईफोन ओएस 16_5_1) ऐप्पलवेबकिट/605.1.15 (केएचटीएमएल, गेको की तरह) संस्करण/16.5.2 (ए) मोबाइल/15ई148 सफारी/604.1 स्वीकार-भाषा: एन-जीबी,एन; q=0.9 एक्सेप्ट-एन्कोडिंग: gzip, डिफ्लेट कनेक्शन: कीप-अलाइव NCAT डिबग: क्लोजिंग fd 5।

कुछ MacRumors टिप्पणीकारों के अनुसार, वह Version/ स्ट्रिंग, जिसमें सामान्य संख्याओं और बिंदुओं के साथ-साथ गोल कोष्ठक में कुछ अजीब और अप्रत्याशित पाठ शामिल है, कुछ वेबसाइटों को भ्रमित कर रहा है।

(विडंबना यह है कि जिन साइटों को हमने इस स्पष्ट रूप से संस्करण-स्ट्रिंग-मिसपार्सिंग-ब्लेम-गेम में दोषी ठहराया है, वे सभी ऐसी सेवाएँ प्रतीत होती हैं जिन्हें ब्राउज़र के माध्यम से समर्पित ऐप्स द्वारा बहुत अधिक एक्सेस किया जाता है, लेकिन सिद्धांत यह प्रतीत होता है कि वे स्पष्ट रूप से हैं उस पर गला घोंट दो 16.5.2 (a) संस्करण पहचानकर्ता यदि आप सफ़ारी के अद्यतन संस्करण के साथ उनसे मिलने का निर्णय लेते हैं।)

क्या करना है?

सच कहूँ तो, केवल Apple ही जानता है कि यहाँ क्या हो रहा है, और वह कुछ नहीं कह रहा है। (कम से कम, आधिकारिक तौर पर इसके सुरक्षा पोर्टल के माध्यम से नहीं (HT201222) या इसके त्वरित सुरक्षा प्रतिक्रियाओं के बारे में पेज (HT201224.)

हमारा सुझाव है, यदि आपके पास पहले से ही अपडेट है, तो आप इसे तब तक न हटाएं जब तक कि यह आपके काम के लिए आवश्यक वेबसाइटों या ऐप्स के साथ आपके फोन का उपयोग करने की आपकी क्षमता में वास्तव में हस्तक्षेप न करे, या जब तक कि आपका अपना आईटी विभाग स्पष्ट रूप से आपको इसे वापस लेने के लिए न कहे। macOS, iOS या iPadOS के "नॉन-(a)" फ्लेवर के लिए।

आखिरकार, इस अपडेट को त्वरित प्रतिक्रिया के लिए उपयुक्त माना गया क्योंकि यह जिस शोषण को ठीक करता है वह एक इन-द-वाइल्ड, ब्राउज़र-आधारित रिमोट कोड निष्पादन (आरसीई) छेद है।

यदि आपको आरएसआर हटाने की आवश्यकता है या आप चाहते हैं, तो आप यह कर सकते हैं:

• अगर आपके पास iPhone या iPad है. सेटिंग > सामान्य जानकारी > About > आईओएस/आईपैडओएस संस्करण और चुनें सुरक्षा प्रतिक्रिया हटाएँ.
• यदि आपके पास मैक है. प्रणाली व्यवस्था > सामान्य जानकारी > About और क्लिक करें (i) शीर्षक वाले आइटम के अंत में आइकन मैकोज़ वेंचुरा.

ध्यान दें कि हमने RSR को तुरंत macOS Ventura 13.4.1 और iOS 16.5.1 पर इंस्टॉल किया है, और Safari या Edge के माध्यम से हमारे सामान्य वेब हंट को ब्राउज़ करने में कोई समस्या नहीं हुई है। (याद रखें कि सभी ब्राउज़र Apple मोबाइल उपकरणों पर WebKit का उपयोग करते हैं!)

इसलिए हमारा अपडेट को हटाने का इरादा नहीं है, और हम प्रयोगात्मक रूप से ऐसा करने के इच्छुक नहीं हैं, क्योंकि हमें नहीं पता कि हम इसे बाद में फिर से इंस्टॉल कर पाएंगे या नहीं।

टिप्पणीकारों ने सुझाव दिया है कि जब वे किसी अनपैच किए गए डिवाइस से प्रयास करते हैं तो पैच की रिपोर्ट नहीं होती है, लेकिन हमने यह देखने के लिए पहले से पैच किए गए डिवाइस को दोबारा पैच करने का प्रयास नहीं किया है कि क्या यह आपको अपडेट को दोबारा लाने के लिए जादुई टिकट देता है।

सीधे शब्दों में कहें:

• यदि आपने पहले ही macOS 13.4.1 (a) या iOS/iPadOS 16.5.1 (a) डाउनलोड कर लिया है, अपडेट तब तक जारी रखें जब तक आपको इससे बिल्कुल छुटकारा न पाना हो, यह देखते हुए कि यह आपको शून्य-दिन के अंतराल से सुरक्षित कर रहा है।
• यदि आपने इसे इंस्टॉल किया है और वास्तव में इसकी आवश्यकता है या आप इसे हटाना चाहते हैं, ऊपर हमारे निर्देश देखें, लेकिन मान लें कि आप इसे बाद में पुनः इंस्टॉल नहीं कर पाएंगे, और इसलिए स्वयं को नीचे तीसरी श्रेणी में डाल देंगे।
• यदि आपको यह अभी तक नहीं मिला है, तो इस स्थान को देखें। हम अनुमान लगा रहे हैं कि (a) पैच को तेजी से एक से बदल दिया जाएगा (b) पैच, क्योंकि इन "अक्षरित अपडेट" का पूरा विचार यह है कि वे त्वरित प्रतिक्रिया के लिए हैं। लेकिन केवल Apple ही निश्चित रूप से जानता है।

हम कल से अपनी सामान्य सलाह को यह कहकर पैच करेंगे: देरी मत करो; जैसे ही Apple और आपका डिवाइस आपको अनुमति देगा, इसे करें।

---

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
• स्रोत: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/