ایپل میگا اپ ڈیٹ: وینٹورا آؤٹ، آئی او ایس اور آئی پیڈ کرنل صفر دن - ابھی عمل کریں!

ایپل کا سیکیورٹی اپ ڈیٹس کا تازہ ترین مجموعہ آچکا ہے، بشمول حال ہی میں لانچ کیا گیا ہے۔ macOS 13 ایڈونچرجس کے ساتھ اس کا اپنا بھی تھا۔ سیکورٹی بلیٹن مکمل طور پر 112 CVE نمبر والے حفاظتی سوراخوں کی فہرست۔

ان میں سے، ہم نے 27 صوابدیدی کوڈ پر عمل درآمد کے سوراخوں کو شمار کیا، جن میں سے 12 بدمعاش کوڈ کو دانا میں ہی داخل کرنے کی اجازت دیتا ہے، اور ایک ناقابل اعتماد کوڈ کو سسٹم کی مراعات کے ساتھ چلانے کی اجازت دیتا ہے۔

اس کے اوپری حصے میں، Ventura کے لیے دو ایلیویشن-آف-پریولیج (EoP) کیڑے درج ہیں جو ہم فرض کرتے ہیں کہ کچھ، بہت سے یا باقی 14 نان سسٹم کوڈ ایگزیکیوشن بگز کے ساتھ مل کر استعمال کیا جا سکتا ہے تاکہ ایک اٹیک چین بنایا جا سکے۔ صارف کی سطح کے کوڈ پر عمل درآمد کو سسٹم لیول والے میں بدل دیتا ہے۔

آئی فون اور آئی پیڈ حقیقی زندگی کے خطرے میں

تاہم یہ اس کہانی کا سب سے اہم حصہ نہیں ہے۔

"واضح اور موجودہ خطرہ" انعام کو جاتا ہے۔ iOS اور iPadOS، جس اپ ڈیٹ ہو جاؤ ورژن میں 16.1 اور 16 بالترتیب، جہاں درج کردہ حفاظتی کمزوریوں میں سے ایک کسی بھی ایپ سے کرنل کوڈ پر عمل درآمد کی اجازت دیتا ہے، اور پہلے ہی فعال طور پر اس کا استحصال کیا جا رہا ہے۔

مختصراً، آئی فونز اور آئی پیڈز کو فوری طور پر پیچ کرنے کی ضرورت ہے۔ کرنل صفر دن.

ایپل نے یہ نہیں بتایا کہ کون سا سائبر کرائم گروپ یا اسپائی ویئر کمپنی اس بگ کا غلط استعمال کر رہی ہے، ڈب CVE-2022-42827لیکن سائبر انڈرورلڈ میں آئی فون زیرو ڈےز کمانڈ کے کام کرنے والی اعلی قیمت کو دیکھتے ہوئے، ہم فرض کرتے ہیں کہ جو بھی اس استحصال کے قبضے میں ہے [a] جانتا ہے کہ اسے کس طرح مؤثر طریقے سے کام کرنا ہے اور [b] خود اس کی طرف توجہ مبذول کرنے کا امکان نہیں ہے۔ موجودہ متاثرین کو زیادہ سے زیادہ اندھیرے میں رکھنے کے لیے۔

ایپل نے اپنے معمول کے بوائلر پلیٹ ریمارکس کو اس اثر سے باہر نکال دیا ہے کہ کمپنی "ایک رپورٹ سے آگاہ ہے کہ اس مسئلے کا فعال طور پر استحصال کیا گیا ہے"، اور بس یہی.

نتیجے کے طور پر، ہم آپ کو اس بارے میں کوئی مشورہ نہیں دے سکتے ہیں کہ آپ کے اپنے آلے پر حملے کی علامات کی جانچ کیسے کی جائے – ہم کسی نام نہاد IoCs (سمجھوتہ کے اشارے)، جیسے کہ آپ کے بیک اپ میں عجیب و غریب فائلیں، ترتیب میں غیر متوقع تبدیلیاں، یا غیر معمولی لاگ فائل اندراجات جنہیں آپ تلاش کر سکتے ہیں۔

لہذا ہماری صرف ایک ہی تجویز ہے کہ ہم اکثر جلدی/پیچ لگانے کے لیے، کی طرف جا کر معمول پر زور دیتے ہیں۔ ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ اور منتخب کریں ڈاؤن لوڈ اور انسٹال کریں اگر آپ کو پہلے سے ہی اصلاحات موصول نہیں ہوئی ہیں۔

جب آپ قطار کے سر پر چھلانگ لگا سکتے ہیں اور انہیں فوراً حاصل کر سکتے ہیں تو آپ کے آلے کو اپ ڈیٹس تلاش کرنے اور تجویز کرنے کا انتظار کیوں کریں؟

Catalina گرا دیا؟

جیسا کہ آپ نے فرض کیا ہوگا، یہ دیکھتے ہوئے کہ وینٹورا کی ریلیز macOS کو ورژن 13 تک لے جاتی ہے، تین ورژن-پہلے macOS 10 Catalina اس بار فہرست میں نظر نہیں آتی۔

ایپل عام طور پر صرف میک او ایس کے پچھلے اور پہلے سے پہلے کے ورژنز کے لیے سیکیورٹی اپ ڈیٹس فراہم کرتا ہے، اور اسی طرح پیچز یہاں چلائے جاتے ہیں، پیچ لینے کے لیے میکوس 11 بگ سور ورژن میں 11.7.1، اور میکوس 12 مانٹیری ورژن میں 12.6.1.

تاہم، وہ ورژن بھی حاصل کرتے ہیں علیحدہ اپ ڈیٹ کے طور پر درج سفاری 16.1، جو سفاری اور اس کی بنیادی سافٹ ویئر لائبریری WebKit میں کئی خطرناک آواز والے کیڑے کو ٹھیک کرتا ہے۔

یاد رکھیں کہ WebKit کا استعمال نہ صرف Safari کے ذریعے کیا جاتا ہے بلکہ کسی بھی دوسرے ایپس کے ذریعے بھی استعمال کیا جاتا ہے جو ایپل کے بنیادی کوڈ پر انحصار کرتی ہے تاکہ کسی بھی قسم کے HTML پر مبنی مواد کو ظاہر کیا جا سکے، بشمول ہیلپ سسٹم، اسکرین کے بارے میں، اور بلٹ ان "منی براؤزرز"، جو عام طور پر پیغام رسانی میں دیکھا جاتا ہے۔ وہ ایپس جو HTML فائلوں، صفحات یا پیغامات کو دیکھنے کا اختیار پیش کرتی ہیں۔

ایپل watchOS اور TVOS متعدد اصلاحات بھی حاصل کرتے ہیں، اور ان کے ورژن نمبرز کو اپ ڈیٹ کیا جاتا ہے۔ WatchOS 9.1 اور TVOS 16.1 بالترتیب.

کیا کیا جائے؟

اچھی خبر یہ ہے کہ ایپل کے بیٹا ماحولیاتی نظام کے حصے کے طور پر صرف ابتدائی اختیار کرنے والے اور سافٹ ویئر ڈویلپرز پہلے ہی وینٹورا چلا رہے ہیں۔

ان صارفین کو جتنی جلدی ممکن ہو، سسٹم کی یاد دہانی کا انتظار کیے بغیر یا خود کار طریقے سے اپ ڈیٹ ہونے کا انتظار کیے بغیر، بڑی تعداد میں کیڑے ٹھیک ہونے کے پیش نظر۔

اگر آپ وینٹورا پر نہیں ہیں لیکن ابھی اپ گریڈ کرنے کا ارادہ رکھتے ہیں، تو آپ کے نئے ورژن کے پہلے تجربے میں خود بخود اوپر بیان کردہ 112 CVE پیچ شامل ہوں گے، لہذا ورژن اپ گریڈ خود بخود ضروری سیکورٹی شامل ہو جائے گا تازہ ترین معلومات کے.

اگر آپ ابھی کچھ دیر کے لیے پچھلے یا پہلے سے پچھلے macOS ورژن کے ساتھ قائم رہنے کا ارادہ کر رہے ہیں (یا اگر، ہماری طرح، آپ کے پاس ایک پرانا میک ہے جسے اپ گریڈ نہیں کیا جا سکتا)، یہ نہ بھولیں کہ آپ کو دو اپ ڈیٹس کی ضرورت ہے: ایک مخصوص بگ سور یا مونٹیری کے لیے، اور دوسرا سفاری کے لیے اپ ڈیٹ جو دونوں آپریٹنگ سسٹم کے ذائقوں کے لیے یکساں ہے۔

مختصر کرنے کے لئے:

• iOS یا iPad OS پر، فوری طور پر استعمال کریں ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ
• macOS پر، استعمال کی شرائط ایپل مینو > اس میک کے بارے میں > سافٹ ویئر اپ ڈیٹ…
• macOS 13 Ventura Beta صارفین کو مکمل ریلیز کے لیے فوری طور پر اپ ڈیٹ کرنا چاہیے۔
• بگ سور اور مونٹیری صارفین جو وینٹورا میں اپ گریڈ کرتے ہیں وہ بیک وقت macOS 13 سیکیورٹی فکس حاصل کرتے ہیں۔
• میکوس 11 بگ سور کو جاتا ہے 11.7.1، اور ضروریات سفاری 16.1 ساتھ ہی.
• میکوس 12 مانٹیری کو جاتا ہے 12.6.1، اور ضروریات سفاری 16.1 ساتھ ہی.
• watchOS کو جاتا ہے 9.1.
• TVOS کو جاتا ہے 16.1.

نوٹ کریں کہ macOS 10 Catalina کو کوئی اپ ڈیٹ نہیں ملتا ہے، لیکن ہم فرض کرتے ہیں کہ یہ Catalina صارفین کے لیے سڑک کا اختتام ہے، اس لیے نہیں کہ یہ اب بھی تعاون یافتہ ہے بلکہ بعد کے ورژنز میں پائے جانے والے کسی بھی کیڑے سے محفوظ تھا۔

اگر ہم درست کہتے ہیں تو، Catalina کے صارفین جو اپنے Macs کو اپ گریڈ نہیں کر سکتے ہیں، وہ ایپل کے پرانے سافٹ ویئر کو ہمیشہ کے لیے چلانے، یا متبادل آپریٹنگ سسٹم جیسے کہ لینکس ڈسٹرو پر سوئچ کرنے میں پھنس گئے ہیں جو اب بھی ان کے آلے پر تعاون یافتہ ہے۔

ایپل کے سیکیورٹی بلیٹنز کے فوری لنکس:

• APPLE-SA-2022-10-24-1: HT213489 iOS 16.1 اور iPadOS 16 کے لیے
• APPLE-SA-2022-10-24-2: HT213488 macOS Ventura 13 کے لیے
• APPLE-SA-2022-10-24-3: HT213494 macOS Monterey 12.6.1 کے لیے
• APPLE-SA-2022-10-24-4: HT213493 macOS Big Sur 11.7.1 کے لیے
• APPLE-SA-2022-10-24-5: HT213491 watchOS 9.1 کے لیے
• APPLE-SA-2022-10-24-6: HT213492 TVOS 16.1 کے لیے
• APPLE-SA-2022-10-24-7: HT213495 سفاری 16.1 کے لیے

---