Microsoft समान विंडोज़ बग को ठीक करने के तुरंत बाद Apple के "अकिलीज़ हील" पर गंदगी को हटा देता है

जब हम आज सुबह उठे, तो हमारी साइबर सुरक्षा सूचना फ़ीड "समाचार" से भर गई थी कि ऐप्पल ने अभी एक सुरक्षा छेद को पैच किया था जिसे "गंभीर बग" कहा गया था, एक "गंभीर दोष" जो आपके मैक को "रक्षाहीन" और "एच्लीस" छोड़ सकता था ' macOS की एड़ी ”।

यह देखते हुए कि हम आम तौर पर मौसम की जांच करने के लिए बाहर देखने से पहले अपनी विभिन्न सुरक्षा बुलेटिन मेलिंग सूचियों की जांच करते हैं, मुख्य रूप से यह देखने के लिए कि क्या Apple ने गुप्त रूप से रातोंरात एक नई सलाह जारी की है ...

…हम आश्चर्यचकित थे, अगर वास्तव में चिंतित नहीं थे, बग रिपोर्ट के राइटअप की संख्या पर हमने अभी तक नहीं देखा था।

दरअसल, कवरेज ने हमें यह मानने के लिए आमंत्रित किया था कि ऐप्पल ने अभी तक एक और अपडेट जारी किया था, इसके पिछले एक हफ्ते बाद "सब कुछ के लिए अद्यतन", दो सप्ताह से भी कम समय के बाद ए आईओएस 16 के लिए रहस्यमय अद्यतन, जो एक ज़ीरो-डे अटैक निकला, जिसका उपयोग स्पष्ट रूप से बूबी-ट्रैप्ड वेब पेजों के माध्यम से मैलवेयर इम्प्लांट करने के लिए किया जा रहा था, हालाँकि Apple ने उस समय इसका उल्लेख करने की उपेक्षा की:

आज सुबह की "समाचार" का अर्थ यह प्रतीत होता है कि Apple ने न केवल एक और अपडेट को बाहर कर दिया था, बल्कि एक सलाहकार ईमेल में इसकी घोषणा न करके इसे चुपचाप जारी कर दिया था, और इसे कंपनी की ओर से सूचीबद्ध भी नहीं किया था। HT201222 सुरक्षा पोर्टल पृष्ठ।

(उस लिंक को रखें HT201222 लिंक यदि आप एक Apple उपयोगकर्ता हैं तो आसान है - पैच भ्रम उत्पन्न होने पर यह एक उपयोगी प्रारंभिक बिंदु है।)

यह एक बग है, लेकिन बिल्कुल नया नहीं है

हालाँकि, अच्छी खबर यह है कि यदि आप हमारे सुझाव का पालन किया आपके Apple उपकरणों की जांच करने के लिए एक सप्ताह पहले से अपडेट किया गया था (भले ही आपने उनसे अपने हिसाब से ऐसा करने की उम्मीद की हो), आपको पहले से ही कोई भी सुधार मिल गया है, जिसे आपको इस "अकिलिस" बग से बचाने की आवश्यकता हो सकती है, जिसे विशेष रूप से जाना जाता है CVE-2022-42821.

यह कोई नया बग नहीं है, यह Apple के बग के बारे में कुछ नई जानकारी है पिछले सप्ताह तय किया.

स्पष्ट होने के लिए, यदि Apple के सुरक्षा बुलेटिनों में यह सही है, तो यह बग Apple के किसी भी मोबाइल ऑपरेटिंग सिस्टम पर लागू नहीं होता है, और macOS 13 वेंचुरा संस्करण में या तो कभी लागू नहीं किया गया था, या पहले से ही तय किया गया था।

दूसरे शब्दों में, वर्णित बग केवल macOS 11 बिग सुर और macOS 12 मोंटेरे के उपयोगकर्ताओं के लिए प्रासंगिक था, कभी भी शून्य-दिन नहीं था, और पहले ही पैच किया जा चुका है।

सभी उपद्रव का कारण कल का प्रकाशन प्रतीत होता है, अब जबकि पैच कई दिनों से उपलब्ध है, माइक्रोसॉफ्ट द्वारा नाटकीय रूप से हकदार एक पेपर गेटकीपर की दुखती एड़ी: एक macOS भेद्यता का पता लगाना.

Apple ने, बेशक, अपने आप में इस बग का केवल एक सरसरी सारांश दिया था परामर्श एक हफ्ते पहले:

प्रभाव: कोई ऐप गेटकीपर जांच को बायपास कर सकता है विवरण: एक तर्क समस्या को बेहतर जांच के साथ संबोधित किया गया था। सीवीई-2022-42821: माइक्रोसॉफ्ट के जोनाथन बार या

एक बार जब आप जानते हैं कि क्या करना है, तो इस बग का शोषण करना बहुत मुश्किल नहीं है, और Microsoft की रिपोर्ट स्पष्ट रूप से बताती है कि क्या आवश्यक है।

हालांकि, कुछ सुर्खियों के बावजूद, यह आपके मैक को बिल्कुल "रक्षाहीन" नहीं छोड़ता है।

सीधे शब्दों में कहें, तो इसका मतलब है कि एक डाउनलोड किया गया ऐप जो आम तौर पर एक पॉप-अप चेतावनी देता है कि यह एक विश्वसनीय स्रोत से नहीं था, उसे Apple द्वारा सही ढंग से फ़्लैग नहीं किया जाएगा। द्वारपाल प्रणाली।

गेटकीपर ऐप को डाउनलोड के रूप में रिकॉर्ड करने में विफल रहेगा, ताकि इसे चलाने से सामान्य चेतावनी दूर हो जाएगी।

(आपके मैक पर कोई भी सक्रिय एंटी-मैलवेयर और खतरे पर आधारित व्यवहार की निगरानी करने वाला सॉफ़्टवेयर अभी भी काम करेगा, जैसा कि कोई फ़ायरवॉल सेटिंग्स या वेब फ़िल्टरिंग सुरक्षा सॉफ़्टवेयर जब आप इसे पहली बार में डाउनलोड करते हैं।)

यह एक बग है, लेकिन वास्तव में "महत्वपूर्ण" नहीं है

यह वास्तव में एक "महत्वपूर्ण दोष" भी नहीं है, जैसा कि एक मीडिया रिपोर्ट ने सुझाव दिया है, खासकर जब आप मानते हैं कि दिसंबर 2022 के लिए Microsoft का अपना पैच मंगलवार अपडेट तय किया गया है बहुत समान प्रकार का बग जिसे केवल "मध्यम" दर्जा दिया गया था:

वास्तव में, Microsoft की समान भेद्यता वास्तव में एक शून्य-दिन का छेद था, जिसका अर्थ है कि पैच के बाहर आने से पहले साइबर सुरक्षा समुदाय के बाहर इसकी जानकारी थी और इसका दुरुपयोग किया गया था।

हमने Microsoft के बग का वर्णन इस प्रकार किया है:

सीवीई-2022-44698: विंडोज़ स्मार्टस्क्रीन सुरक्षा फ़ीचर बायपास भेद्यता इस बग को जंगली तौर पर उजागर किया गया है। दुर्भावनापूर्ण सामग्री वाला एक हमलावर जो आम तौर पर सुरक्षा चेतावनी भड़काता है, उस अधिसूचना को बायपास कर सकता है और इस प्रकार बिना किसी चेतावनी के अच्छी तरह से सूचित उपयोगकर्ताओं को भी संक्रमित कर सकता है।

सीधे शब्दों में कहें, विंडोज सुरक्षा बाईपास माइक्रोसॉफ्ट के तथाकथित में विफलता के कारण हुआ था वेब का निशान (MOTW) प्रणाली, जिसे डाउनलोड की गई फ़ाइलों में विस्तारित विशेषताओं को जोड़ने के लिए माना जाता है, यह दर्शाने के लिए कि वे एक अविश्वसनीय स्रोत से आई हैं।

Apple का सुरक्षा बाईपास समान-लेकिन-अलग में विफल रहा द्वारपाल सिस्टम, जिसे डाउनलोड की गई फ़ाइलों में विस्तारित विशेषताओं को जोड़ने के लिए माना जाता है, यह इंगित करने के लिए कि वे एक अविश्वसनीय स्रोत से आए हैं।

क्या करना है?

Microsoft के प्रति निष्पक्ष होने के लिए, वह शोधकर्ता जिसने जिम्मेदारी से Apple को गेटकीपर दोष का खुलासा किया, और किसने लिखा अभी-अभी प्रकाशित रिपोर्ट, बग या उस स्थिति का वर्णन करने के लिए "महत्वपूर्ण" या "रक्षाहीन" शब्दों का उपयोग नहीं किया जिसमें उसने आपके मैक को रखा था ...

…हालांकि बग का नामकरण Achilles और इसे एक के रूप में शीर्षक देना कण्डरा एड़ी शायद एक लाक्षणिक छलांग बहुत दूर थी।

आखिरकार, प्राचीन ग्रीक किंवदंती में, अकिलिस लड़ाई में चोट के लिए लगभग पूरी तरह से प्रतिरक्षित था, क्योंकि उसकी माँ ने उसे जादुई नदी वैतरणी नदी में एक बच्चे के रूप में डुबो दिया था।

लेकिन उसे इस प्रक्रिया में अपनी एड़ी को पकड़ना पड़ा, जिससे उसे एक एकल कमजोर स्थान के साथ छोड़ दिया गया, जो अंततः पेरिस द्वारा एच्लीस को मारने के लिए शोषण किया गया था - निश्चित रूप से एक खतरनाक भेद्यता और एक महत्वपूर्ण शोषण (साथ ही एक शून्य-दिन दोष होने के नाते, यह देखते हुए) ऐसा लगता है कि पेरिस को पता चल गया है कि पहले से कहां निशाना लगाना है)।

सौभाग्य से, इन दोनों मामलों में - माइक्रोसॉफ्ट की अपनी शून्य-दिन बग, और ऐप्पल की बग माइक्रोसॉफ्ट द्वारा पाई गई - सुरक्षा बाईपास त्रुटियों को अब पैच किया गया है

इसलिए, दोनों कमजोरियों से छुटकारा पाना (प्रभावी रूप से एच्लीस को उसकी दूसरी हील पकड़ते हुए रिवर स्टाइलक्स में वापस डुबो देना, जो शायद उसकी मां को पहले स्थान पर करना चाहिए था) उतना ही आसान है जितना कि यह सुनिश्चित करना कि आपके पास नवीनतम अपडेट हैं।

• Macs . पर, उपयोग: ऐप्पल मेनू > इस मैक के बारे में > सॉफ्टवेयर अपडेट…
• विंडोज पर: उपयोग सेटिंग > Windows अद्यतन > अद्यतन देखें

आप पहले से जानते हैं
     हम क्या कहने जा रहे हैं
जो है, "देरी ना करें,
     बस इसे आज ही पैच कर दें।

---