یاد رکھیں کہ زپ لپڈ لیکن سپر فاسٹ اپ ڈیٹ جو کہ ایپل تین ہفتے پہلے باہر دھکیل دیا، 2023-05-01 کو؟
یہ اپ ڈیٹ ایپل کے نئے فینگل میں سب سے پہلے تھا۔ ریپڈ سیکیورٹی رسپانس عمل، جس کے تحت کمپنی پورے سائز کے آپریٹنگ سسٹم اپ ڈیٹ سے گزرے بغیر کلیدی سسٹم کے اجزاء کے لیے اہم پیچ کو آگے بڑھا سکتی ہے جو آپ کو ایک نئے ورژن نمبر پر لے جاتی ہے۔
جیسا کہ ہم نے اس ہفتے ننگی سیکیورٹی پوڈ کاسٹ میں غور کیا:
ایپل نے حال ہی میں "ریپڈ سیکیورٹی رسپانس" متعارف کرایا ہے۔ لوگ اطلاع دے رہے ہیں کہ انہیں ڈاؤن لوڈ ہونے میں سیکنڈ لگتے ہیں اور انہیں ایک انتہائی تیز ریبوٹ کی ضرورت ہوتی ہے۔ [لیکن] جہاں تک تنگ ہونٹ [اپ ڈیٹ کے بارے میں]، وہ زپ لپڈ ہیں۔ بالکل کوئی معلومات نہیں کہ یہ کس چیز کے بارے میں تھا۔ لیکن یہ اچھا اور تیز تھا!
کچھ کے لیے اچھا ہے۔
بدقسمتی سے، یہ نئے ریپڈ سیکیورٹی رسپانس صرف میک او ایس (فی الحال وینٹورا) کے بالکل تازہ ترین ورژن اور تازہ ترین iOS/iPadOS (فی الحال ورژن 16 پر) کے لیے دستیاب تھے، جس نے پرانے Macs اور iDevices کے صارفین کے ساتھ ساتھ Apple Watches کے مالکان کو چھوڑ دیا۔ اور ایپل ٹی وی، اندھیرے میں۔
ایپل کے نئے تیز رفتار پیچ کی وضاحت سے یہ ظاہر ہوتا ہے کہ وہ عام طور پر صفر دن کے کیڑے سے نمٹیں گے جو بنیادی سافٹ ویئر جیسے سفاری براؤزر، اور ویب کٹ کو متاثر کرتے ہیں، جو ویب رینڈرنگ انجن ہے جسے ہر براؤزر iPhones اور iPads پر استعمال کرنے کا پابند ہے۔
تکنیکی طور پر، آپ ایک آئی فون یا آئی پیڈ براؤزر ایپ بنا سکتے ہیں جس میں کرومیم انجن کا استعمال کیا گیا ہو، جیسا کہ کروم اور ایج کرتے ہیں، یا گیکو انجن، جیسا کہ موزیلا کے براؤزر کرتے ہیں، لیکن اگر آپ ایسا کرتے ہیں تو ایپل اسے ایپ اسٹور میں نہیں جانے دے گا۔
اور چونکہ ایپ اسٹور ایپل کے موبائل آلات کے لیے ایپس کا واحد اور واحد "دیواروں والا باغ" ذریعہ ہے، یہی ہے: یہ ویب کٹ کا طریقہ ہے، یا کوئی راستہ نہیں۔
اس وجہ سے کہ اہم ویب کٹ کیڑے بہت سی دوسری ایپلی کیشنز میں کیڑے سے زیادہ خطرناک ہوتے ہیں یہ ہے کہ براؤزر جان بوجھ کر اپنا وقت انٹرنیٹ پر کہیں سے بھی اور ہر جگہ سے مواد لانے میں صرف کرتے ہیں۔
براؤزر پھر ان ناقابل اعتماد فائلوں پر کارروائی کرتے ہیں، جو دوسرے لوگوں کے ویب سرورز کے ذریعے دور سے فراہم کی جاتی ہیں، انہیں دیکھنے کے قابل، قابل کلک مواد میں تبدیل کرتے ہیں، اور انہیں ایسے ویب صفحات کے طور پر ڈسپلے کرتے ہیں جن کے ساتھ آپ تعامل کر سکتے ہیں۔
آپ توقع کرتے ہیں کہ آپ کا براؤزر فعال طور پر آپ کو متنبہ کرے گا، اور ممکنہ طور پر خطرناک سمجھے جانے والے اقدامات کرنے سے پہلے اجازت کی درخواست کرے گا، جیسے کہ آپ کے ویب کیم کو چالو کرنا، آپ کے آلے پر پہلے سے محفوظ فائلوں کو پڑھنا، یا نیا سافٹ ویئر انسٹال کرنا۔
لیکن آپ اس مواد کی بھی توقع کرتے ہیں جو براہ راست خطرناک نہیں سمجھا جاتا ہے، جیسے کہ تصاویر دکھائی جائیں گی، ویڈیوز دکھائی جائیں گی، آڈیو فائلیں چلائی جائیں گی، اور اسی طرح، خود بخود آپ کو پروسیس کیے جائیں گے اور پیش کیے جائیں گے۔
سیدھے الفاظ میں، محض ملاحظہ کریں کسی ویب صفحہ کو آپ کے آلے پر میلویئر لگانے، آپ کا ڈیٹا چوری ہونے، آپ کے پاس ورڈز کے سونگھ جانے، آپ کی ڈیجیٹل زندگی کے اسپائی ویئر کے شکار ہونے، یا اس طرح کی کسی بھی قسم کی خرابی کے خطرے میں نہیں ڈالنا چاہیے۔
جب تک کوئی بگ نہ ہو۔
جب تک کہ، یقیناً، WebKit میں کوئی بگ موجود نہیں ہے (یا شاید کئی کیڑے جنہیں حکمت عملی کے ساتھ جوڑ دیا جا سکتا ہے)، تاکہ صرف جان بوجھ کر بوبی ٹریپ امیج فائل، یا ویڈیو، یا جاوا اسکرپٹ پاپ اپ تیار کر کے، آپ کے براؤزر کو کچھ کرنے کے لیے دھوکہ دیا جا سکتا ہے۔ یہ نہیں ہونا چاہئے.
اگر سائبر جرائم پیشہ افراد، یا اسپائی ویئر بیچنے والے، یا جیل توڑنے والے، یا کسی ایسی حکومت کی سیکیورٹی سروسز جو آپ کو پسند نہیں کرتی ہیں، یا درحقیقت آپ کے بدترین مفادات رکھنے والا کوئی بھی شخص اس قسم کے استحصالی بگ کو بے نقاب کرتا ہے، تو وہ سائبر سیکیورٹی سے سمجھوتہ کرنے کے قابل ہو سکتے ہیں۔ آپ کے پورے آلے کا…
…صرف آپ کو ایک ایسی معصوم نظر آنے والی ویب سائٹ کی طرف راغب کر کے جس کا دورہ کرنا بالکل محفوظ ہونا چاہیے۔
ٹھیک ہے، ایپل نے ابھی اپنے تازہ ترین Rapid Security Resonse پیچ کی پیروی کی ہے جس میں اس کی تمام معاون پروڈکٹس کے لیے مکمل اپ ڈیٹس ہیں، اور ان پیچ کے لیے سیکیورٹی بلیٹنز کے درمیان، ہمیں آخر کار پتہ چلا ہے کہ وہ ریپڈ رسپانس کیا تھے۔ وہاں ٹھیک کرنے کے لئے.
دو صفر دن:
- CVE-2023-28204: ویب کٹ۔ بہتر ان پٹ کی توثیق کے ساتھ ایک حد سے باہر پڑھا گیا تھا۔ ویب مواد پر کارروائی کرنے سے حساس معلومات کا انکشاف ہو سکتا ہے۔ ایپل ایک رپورٹ سے آگاہ ہے کہ اس مسئلے کا فعال طور پر استحصال کیا گیا ہے۔
- CVE-2023-32373: ویب کٹ۔ میموری کے بہتر انتظام کے ساتھ استعمال کے بعد مفت مسئلہ کو حل کیا گیا۔ بدنیتی سے تیار کردہ ویب مواد پر کارروائی کرنے سے من مانی کوڈ پر عمل درآمد ہو سکتا ہے۔ ایپل ایک رپورٹ سے آگاہ ہے کہ اس مسئلے کا فعال طور پر استحصال کیا گیا ہے۔
عام طور پر، جب اس طرح کے دو صفر دن WebKit میں ایک ہی وقت میں دکھائے جاتے ہیں، تو یہ ایک اچھی شرط ہے کہ انہیں مجرموں کے ذریعہ ملا کر دو قدموں پر قبضہ کرنے والا حملہ بنایا گیا ہے۔
ایسے کیڑے جو ڈیٹا کو اوور رائٹ کرکے میموری کو خراب کرتے ہیں جسے چھوا نہیں جانا چاہیے (جیسے CVE-2023-32373) ہمیشہ خراب ہوتے ہیں، لیکن جدید آپریٹنگ سسٹمز میں بہت سے رن ٹائم تحفظات شامل ہیں جن کا مقصد بگی پروگرام کو کنٹرول کرنے کے لیے اس طرح کے کیڑے کے استحصال کو روکنا ہے۔
مثال کے طور پر، اگر آپریٹنگ سسٹم تصادفی طور پر یہ انتخاب کرتا ہے کہ پروگرام اور ڈیٹا میموری میں کہاں ختم ہوتا ہے، تو سائبر کرائمین اکثر کمزور پروگرام کو کریش کرنے سے زیادہ کچھ نہیں کر سکتے، کیونکہ وہ یہ اندازہ نہیں لگا سکتے کہ وہ جس کوڈ پر حملہ کر رہے ہیں وہ میموری میں کیسے رکھا گیا ہے۔ .
لیکن اس بارے میں قطعی معلومات کے ساتھ کہ کہاں ہے، ایک خام، "کریشسٹسٹک" استحصال کو بعض اوقات "کریش اینڈ کیپ-کنٹرول" استحصال میں تبدیل کیا جا سکتا ہے: جسے ایک کے خود وضاحتی نام سے جانا جاتا ہے۔ ریموٹ کوڈ پر عمل درآمد۔ سوراخ.
بلاشبہ، کیڑے جو حملہ آوروں کو میموری والے مقامات سے پڑھنے دیتے ہیں (جیسے CVE-2023-28204) نہ صرف براہ راست ڈیٹا لیکیج اور ڈیٹا چوری کے کارناموں کا باعث بن سکتے ہیں، بلکہ بالواسطہ طور پر "کریش اور کیپ-" کا باعث بن سکتے ہیں۔ کسی پروگرام کے اندر میموری کی ترتیب کے بارے میں راز افشا کرکے اور اسے سنبھالنا آسان بنا کر حملوں کو کنٹرول کریں۔
حیرت انگیز طور پر، تازہ ترین اپ ڈیٹس میں تیسرا صفر دن ہے، لیکن یہ بظاہر ریپڈ سیکیورٹی رسپانس میں طے نہیں کیا گیا تھا۔
- CVE-2023-32409: ویب کٹ۔ اس مسئلے کو بہتر حدوں کی جانچ کے ساتھ حل کیا گیا تھا۔ ایک ریموٹ حملہ آور ویب مواد کے سینڈ باکس سے باہر نکلنے کے قابل ہو سکتا ہے۔ ایپل ایک رپورٹ سے آگاہ ہے کہ اس مسئلے کا فعال طور پر استحصال کیا گیا ہے۔
جیسا کہ آپ تصور کر سکتے ہیں، ان تین صفر دنوں کو یکجا کرنا حملہ آور کے لیے گھر چلانے کے مترادف ہوگا: پہلا بگ ان رازوں کو ظاہر کرتا ہے جو دوسرے بگ کو قابل اعتماد طریقے سے استعمال کرنے کے لیے درکار ہوتے ہیں، اور دوسرا بگ تیسرے کا استحصال کرنے کے لیے کوڈ لگانے کی اجازت دیتا ہے۔ …
… جس وقت، حملہ آور نے نہ صرف آپ کے موجودہ ویب صفحہ کے "دیواروں والے باغ" پر قبضہ کیا ہے، بلکہ آپ کے پورے براؤزر کا کنٹرول حاصل کر لیا ہے، یا اس سے بھی بدتر۔
کیا کیا جائے؟
یقینی بنائیں کہ آپ پیچ کر رہے ہیں! (کے پاس جاؤ ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ۔)
حتیٰ کہ مارچ 2023 کے آغاز میں جن ڈیوائسز کو پہلے ہی ریپڈ سیکیورٹی رسپانس موصول ہوا تھا، ان کے لیے ابھی بھی صفر دن باقی ہے۔
اور تمام پلیٹ فارمز کو کیڑے کے لیے بہت سی دیگر حفاظتی اصلاحات موصول ہوئی ہیں جن سے حملوں کے لیے استفادہ کیا جا سکتا ہے جیسا کہ مختلف ہیں: رازداری کی ترجیحات کو نظرانداز کرنا؛ لاک اسکرین سے نجی ڈیٹا تک رسائی؛ بغیر اجازت اپنے مقام کی معلومات پڑھنا؛ دیگر ایپس سے نیٹ ورک ٹریفک کی جاسوسی؛ اور مزید.
اپ ڈیٹ کرنے کے بعد، آپ کو درج ذیل ورژن نمبرز نظر آنے چاہئیں:
- watchOS: اب ورژن پر 9.5
- ٹی وی او ایس: اب ورژن پر 16.5
- iOS 15 اور iPadOS 15: اب ورژن پر 15.7.6
- iOS 16 اور iPadOS 16: اب ورژن پر 16.5
- میکوس بگ سور: اب میں 11.7.7
- macOS مونٹیری: اب میں 12.6.6
- macOS Ventura: اب میں 13.4
اہم نوٹ: اگر آپ کے پاس macOS Big Sur یا macOS Monterey ہے، تو وہ تمام اہم WebKit پیچ آپریٹنگ سسٹم ورژن اپ ڈیٹ کے ساتھ بنڈل نہیں ہوتے ہیں بلکہ ایک علیحدہ اپ ڈیٹ پیکج میں فراہم کیے جاتے ہیں جسے کہتے ہیں سفاری 16.5.
مزی!
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
- PREIPO® کے ساتھ PRE-IPO کمپنیوں میں حصص خریدیں اور بیچیں۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/
- : ہے
- : ہے
- : نہیں
- :کہاں
- $UP
- 1
- 15٪
- 2023
- 7
- a
- قابلیت
- ہمارے بارے میں
- مطلق
- بالکل
- تک رسائی حاصل
- اعمال
- چالو کرنا
- فعال طور پر
- مقصد
- تمام
- کی اجازت دیتا ہے
- پہلے ہی
- بھی
- ہمیشہ
- an
- اور
- کوئی بھی
- کسی
- کہیں
- اپلی کیشن
- اپلی کیشن سٹور
- ایپل
- ایپلی کیشنز
- ایپس
- کیا
- AS
- At
- حملہ
- حملہ
- حملے
- آڈیو
- مصنف
- آٹو
- خود کار طریقے سے
- دستیاب
- آگاہ
- پس منظر کی تصویر
- برا
- BE
- کیونکہ
- رہا
- اس سے پہلے
- کیا جا رہا ہے
- بیٹ
- بگ
- سرحد
- پایان
- توڑ
- باہر توڑ
- براؤزر
- براؤزر
- بگ کی اطلاع دیں
- کیڑوں
- بنڈل
- لیکن
- by
- کہا جاتا ہے
- کر سکتے ہیں
- سینٹر
- چیک
- کروم
- کرومیم
- کوڈ
- رنگ
- مل کر
- امتزاج
- کمپنی کے
- اجزاء
- سمجھوتہ
- سمجھا
- مواد
- کنٹرول
- تبدیل
- کور
- سکتا ہے
- کورس
- احاطہ
- ناکام، ناکامی
- تخلیق
- مجرم
- اہم
- خام تیل
- موجودہ
- اس وقت
- cybercriminals
- سائبر سیکیورٹی
- خطرناک
- گہرا
- اعداد و شمار
- ڈیٹا رساو
- نمٹنے کے
- تفصیل
- آلہ
- کے الات
- DID
- ڈیجیٹل
- براہ راست
- ظاہر
- دکھائیں
- do
- نہیں کرتا
- کر
- ڈاؤن لوڈ، اتارنا
- e
- آسان
- ایج
- آخر
- انجن
- پوری
- مساوی
- ہر کوئی
- مثال کے طور پر
- پھانسی
- توقع ہے
- دھماکہ
- استحصال کیا۔
- استحصال
- فائل
- فائلوں
- آخر
- پہلا
- مقرر
- پیچھے پیچھے
- کے بعد
- کے لئے
- ملا
- سے
- Go
- جا
- اچھا
- حکومت
- ہے
- ہونے
- ہارٹ
- اونچائی
- چھید
- ہوم پیج (-)
- ہور
- کس طرح
- HTTPS
- if
- تصویر
- تصاویر
- تصور
- مضمر
- بہتر
- in
- شامل
- غیر مستقیم
- معلومات
- ان پٹ
- انسٹال کرنا
- جان بوجھ کر
- بات چیت
- مفادات
- انٹرنیٹ
- میں
- متعارف
- رکن
- iPadOS
- فون
- مسئلہ
- IT
- میں
- جاوا سکرپٹ
- صرف
- کلیدی
- جانا جاتا ہے
- تازہ ترین
- ڈاؤن لوڈ، اتارنا تازہ ترین معلومات کے
- لے آؤٹ
- قیادت
- چھوڑ دیا
- دو
- زندگی
- کی طرح
- محل وقوع
- مقامات
- MacOS کے
- بنانا
- میلویئر
- انتظام
- بہت سے
- مارچ
- مارجن
- زیادہ سے زیادہ چوڑائی
- مئی..
- یاد داشت
- محض
- موبائل
- موبائل آلات
- جدید
- زیادہ
- بہت
- نام
- ضرورت
- نیٹ ورک
- نیٹ ورک ٹریفک
- نئی
- اچھا
- نہیں
- عام
- اب
- تعداد
- تعداد
- of
- اکثر
- on
- ایک
- صرف
- کام
- آپریٹنگ سسٹم
- آپریٹنگ سسٹم
- or
- دیگر
- دوسری صورت میں
- باہر
- پر
- مالکان
- پیکج
- صفحہ
- پاس ورڈز
- پیچ
- پیچ
- پال
- لوگ
- عوام کی
- کارکردگی کا مظاہرہ
- شاید
- اجازت
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھیلا
- podcast
- پوائنٹ
- پوزیشن
- مراسلات
- ممکنہ طور پر
- عین مطابق
- پیشن گوئی
- ترجیحات
- کی تیاری
- پیش
- کی رازداری
- نجی
- عمل
- عملدرآمد
- پروسیسنگ
- حاصل
- پروگرام
- پروگرام
- پش
- ڈال
- تیزی سے
- پڑھیں
- پڑھنا
- وجہ
- موصول
- ریموٹ
- رینڈرنگ
- رپورٹ
- رپورٹ
- درخواست
- کی ضرورت
- جواب
- جوابات
- انکشاف
- پتہ چلتا
- ٹھیک ہے
- رسک
- رن
- سفاری
- محفوظ
- اسی
- سینڈباکس
- دوسری
- سیکنڈ
- خفیہ
- سیکورٹی
- دیکھنا
- بیچنے والے
- حساس
- علیحدہ
- سرورز
- سروسز
- کئی
- کئی کیڑے
- ہونا چاہئے
- دکھائیں
- دکھایا گیا
- So
- سافٹ ویئر کی
- ٹھوس
- کچھ
- ماخذ
- بات
- خرچ
- جاسوسی
- سپائیویئر
- شروع کریں
- ابھی تک
- چوری
- بند کرو
- ذخیرہ
- ذخیرہ
- حکمت عملی سے
- اس طرح
- فراہم کی
- تائید
- سمجھا
- SVG
- کے نظام
- سسٹمز
- لے لو
- قبضے
- لیتا ہے
- سے
- کہ
- ۔
- چوری
- ان
- ان
- تو
- یہ
- وہ
- تھرڈ
- اس
- ان
- تین
- کے ذریعے
- وقت
- کرنے کے لئے
- سب سے اوپر
- چھوڑا
- ٹریفک
- منتقلی
- شفاف
- تبدیل کر دیا
- دو
- عام طور پر
- اپ ڈیٹ کریں
- تازہ ترین معلومات
- اپ ڈیٹ
- URL
- استعمال کی شرائط
- استعمال کے بعد مفت
- استعمال کیا جاتا ہے
- صارفین
- توثیق
- ورژن
- بہت
- ویڈیو
- ویڈیوز
- دورہ
- قابل اطلاق
- تھا
- گھڑیاں
- راستہ..
- we
- ویب
- ویب کیم
- ویب کٹ
- ویب سائٹ
- ہفتے
- مہینے
- اچھا ہے
- تھے
- کیا
- جب
- جس
- چوڑائی
- گے
- ساتھ
- بغیر
- بدتر
- بدترین
- گا
- تم
- اور
- زیفیرنیٹ