ایپل نے کروم، ایج میں 0 ہفتے پہلے "2-دن" براؤزر کے بگ کو ٹھیک کیا تھا۔

ایپل نے اپنے تازہ ترین پیچ کو ختم کر دیا ہے، اس کی حمایت یافتہ مصنوعات کی رینج میں 50 سے زیادہ CVE نمبر والی حفاظتی کمزوریوں کو ٹھیک کر دیا ہے۔

متعلقہ سیکورٹی بلیٹنز، اپ ڈیٹ نمبرز، اور انہیں آن لائن کہاں تلاش کرنا ہے درج ذیل ہیں:

• APPLE-SA-2022-07-20-1: iOS 15.6 اور iPadOS 15.6، تفصیلات پر HT213346
• APPLE-SA-2022-07-20-2: macOS Monterey 12.5، تفصیلات پر HT213345
• APPLE-SA-2022-07-20-3: macOS Big Sur 11.6.8، تفصیلات پر HT213344
• APPLE-SA-2022-07-20-4: سیکورٹی اپ ڈیٹ 2022-005 Catalina, تفصیلات پر HT213343
• APPLE-SA-2022-07-20-5: TVOS 15.6، تفصیلات پر HT213342
• APPLE-SA-2022-07-20-6: واچOS 8.7، تفصیلات پر HT213340
• APPLE-SA-2022-07-20-7: سفاری 15.6، تفصیلات پر HT213341

ایپل کے ساتھ ہمیشہ کی طرح، سفاری براؤزر کے پیچ تازہ ترین macOS (Monterey) کے ساتھ ساتھ iOS اور iPad OS کے لیے اپ ڈیٹس میں بنڈل کیے گئے ہیں۔

لیکن macOS کے پرانے ورژن کے اپ ڈیٹس میں سفاری شامل نہیں ہے، اس لیے اسٹینڈ اسٹون سفاری اپ ڈیٹ (دیکھیں HT213341 اوپر) اس لیے پچھلے macOS ورژن کے صارفین پر لاگو ہوتا ہے (Big Sur اور Catalina دونوں اب بھی باضابطہ طور پر تعاون یافتہ ہیں)، جنہیں صرف ایک نہیں بلکہ دو اپ ڈیٹس ڈاؤن لوڈ اور انسٹال کرنے کی ضرورت ہوگی۔

ایک اعزازی صفر دن

ویسے، اگر آپ کے پاس میک او ایس کے پرانے ورژن والا میک ہے، سفاری کے لیے اس دوسرے ڈاؤن لوڈ کے بارے میں مت بھولناکیونکہ یہ بہت اہم ہے، کم از کم جہاں تک ہم دیکھ سکتے ہیں۔

اس کی وجہ یہ ہے کہ اپ ڈیٹس کے اس دور میں براؤزر سے متعلق پیچ میں سے ایک WebRTC میں کمزوری سے متعلق ہے (ویب ریئل ٹائم مواصلات) جانا جاتا ہے CVE-2022-2294...

…اور اگر وہ نمبر مانوس لگتا ہے، تو یہ ہونا چاہیے، کیونکہ یہ وہی بگ ہے جو تھا۔ صفر دن کے طور پر مقرر کروم میں گوگل کے ذریعہ (اور ایج میں مائیکروسافٹ کے ذریعہ) تقریبا دو ہفتے پہلے:

دلچسپ بات یہ ہے کہ ایپل نے اس مہینے کی کسی بھی کمزوری کو "جنگل میں ہونے کی اطلاع" یا "زیرو ڈے بگز" کے طور پر قرار نہیں دیا ہے، مذکورہ پیچ کے باوجود جسے گوگل نے زیرو ڈے ہول کا نام دیا تھا۔

چاہے اس کی وجہ یہ ہے کہ سفاری میں بگ کا فائدہ اٹھانا اتنا آسان نہیں ہے، یا صرف اس وجہ سے کہ کسی نے بھی سفاری سے متعلق اس مخصوص خرابی کا سراغ نہیں لگایا ہے، ہم آپ کو نہیں بتا سکتے، لیکن ہم اسے "اعزاز" کے طور پر دیکھ رہے ہیں۔ صفر دن" کا خطرہ، اور اس کے نتیجے میں جوش سے پیچ کرنا۔

Pwn2Own کا سوراخ بند ہو گیا۔

ایپل نے مئی 2 میں کینیڈا میں ہونے والے حالیہ Pwn2022Own مقابلے میں جرمن سائبر سیکیورٹی کے محقق مینفریڈ پال کے پائے جانے والے بگ کو بھی بظاہر ٹھیک کر دیا ہے۔

تازہ ترین پوڈ کاسٹ 🎧 ابھی سنیں! Firefox & Pwn2Own، Apple اور 0-day… اور ریاضی جس نے Pythagoras کو شکست دی۔https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j

— ننگی سیکیورٹی (@NakedSecurity) 20 فرمائے، 2022

مینفریڈ پال نے فائر فاکس کو دو مراحل والے بگ کے ساتھ استعمال کیا جس نے اسے $100,000 (ہر حصے کے لیے $50,000) کمایا، اور مزید $50,000 انعام کے لیے سفاری میں بھی شامل ہوا۔

درحقیقت، موزیلا نے پال کے کیڑے کے لیے اپنی اصلاح شائع کی۔ دو دن کے اندر Pwn2Own پر اپنی رپورٹ وصول کرنے کے بعد:

اس کے برعکس ایپل نے Pwn2Own کے بعد کے پیچ کی فراہمی میں دو ماہ کا عرصہ لگا:

ویب کٹ

کے اثرات: بدنیتی سے تیار کردہ ویب مواد پر کارروائی کرنے سے من مانی کوڈ پر عمل درآمد ہو سکتا ہے۔

تفصیل: بہتر ان پٹ توثیق کے ساتھ حد سے باہر لکھنے کے مسئلے کو حل کیا گیا۔

CVE-2022-32792: مینفریڈ پال (@_manfp) ٹرینڈ مائیکرو زیرو ڈے انیشیٹو کے ساتھ کام کر رہے ہیں [Pwn2Own]

تاہم، یاد رکھیں کہ ذمہ دارانہ انکشاف Pwn2Own مقابلے کا حصہ ہے، مطلب یہ ہے کہ انعام کا دعوی کرنے والے کو نہ صرف اپنے استحصال کی مکمل تفصیلات متاثرہ وینڈر کے حوالے کرنے کی ضرورت ہے، بلکہ پیچ ختم ہونے تک اس خطرے کے بارے میں خاموشی اختیار کرنا بھی ضروری ہے۔ .

دوسرے لفظوں میں، موزیلا کے دو دن کے پیچ کی ترسیل کا وقت جتنا قابل تعریف اور پرجوش ہو سکتا ہے، ایپل کا بہت سست ردعمل اس کے باوجود قابل قبول ہے۔

Pwn2Own سے آپ نے جو لائیو ویڈیو اسٹریمز دیکھے ہوں گے وہ اس بات کی نشاندہی کرنے کے لیے پیش کیے گئے تھے کہ آیا ہر حریف کا حملہ کامیاب ہوا، بجائے اس کے کہ اس حملے نے حقیقت میں کیسے کام کیا اس بارے میں کوئی معلومات ظاہر کریں۔ حریفوں کے ذریعے استعمال کیے گئے ویڈیو ڈسپلے کی پشت کیمرہ کی طرف تھی، لہذا آپ حریفوں اور فیصلہ کنندگان کے چہرے دیکھ سکتے تھے، لیکن وہ نہیں جو وہ ٹائپ کر رہے تھے یا دیکھ رہے تھے۔

ملٹی اسٹیج حملے

ہمیشہ کی طرح، ایپل کی طرف سے ان اپ ڈیٹس میں جو بے شمار کیڑے بنائے گئے ہیں ان میں وہ کمزوریاں شامل ہیں جو اصولی طور پر پرعزم حملہ آوروں کے ذریعے ایک ساتھ جکڑے جا سکتے ہیں۔

ایک بگ جس کی شرط کے ساتھ درج ہے۔ "روٹ مراعات کے ساتھ ایک ایپ کرنل مراعات کے ساتھ صوابدیدی کوڈ پر عمل درآمد کرنے کے قابل ہو سکتی ہے" شروع میں بہت پریشان کن نہیں لگتا.

بہر حال، اگر کسی حملہ آور کے پاس پہلے سے ہی جڑ کی طاقتیں ہیں، تو وہ بہرحال آپ کے کمپیوٹر کے کنٹرول میں ہیں۔

لیکن جب آپ کو سسٹم میں کہیں اور ایک بگ نظر آتا ہے جو انتباہ کے ساتھ درج ہوتا ہے۔ "ایک ایپ جڑ مراعات حاصل کرنے کے قابل ہوسکتی ہے"، آپ دیکھ سکتے ہیں کہ آخر الذکر کمزوری سابقہ ​​کے لیے کس طرح آسان اور غیر مجاز قدم ثابت ہو سکتی ہے۔

اور جب آپ کو ایک امیج رینڈرنگ بگ بھی نظر آتا ہے جیسا کہ بیان کیا گیا ہے۔ "بد نیتی سے تیار کی گئی فائل پر کارروائی کرنا من مانی کوڈ پر عمل درآمد کا باعث بن سکتا ہے"، آپ جلدی سے دیکھ سکتے ہیں کہ:

• بوبی پھنسے ہوئے ویب صفحہ میں ایسی تصویر ہوسکتی ہے۔ ناقابل اعتماد کوڈ شروع کرتا ہے۔.
• وہ ناقابل اعتماد کوڈ کر سکتا ہے۔ ایک کم استحقاق والی ایپ لگائیں۔.
• ناپسندیدہ ایپ کر سکتی ہے۔ اپنے لئے جڑ کی طاقتیں حاصل کریں۔.
• اب روٹ ایپ کر سکتی ہے۔ دانا میں اس کا اپنا بدمعاش کوڈ داخل کریں۔.

دوسرے الفاظ میں، نظریاتی طور پر کم از کم، صرف ایک بظاہر معصوم ویب سائٹ کو دیکھ کر…

…آپ کو مصیبت کے جھرنے میں ڈال سکتا ہے، جیسا کہ مشہور کہاوت ہے، "کیل کی کمی کی وجہ سے، جوتا کھو گیا تھا؛ جوتے کی کمی کی وجہ سے گھوڑا کھو گیا گھوڑے کی کمی کی وجہ سے پیغام گم ہو گیا تھا۔ ایک پیغام کی کمی کی وجہ سے، جنگ ہار گئی تھی… یہ سب گھوڑے کی نالی کی ضرورت کے لیے۔‘‘

کیا کیا جائے؟

اس لیے، ہمیشہ کی طرح، ہم تجویز کرتے ہیں کہ آپ جلد پیچ ​​کریں؛ اکثر پیچ؛ سب کچھ پیچ کریں.

ایپل، اس کے کریڈٹ کے مطابق، ہر چیز کے پیچ کو ڈیفالٹ بنا دیتا ہے: آپ کو یہ منتخب کرنے کی ضرورت نہیں ہے کہ کون سے پیچ کو تعینات کرنا ہے اور کون سے "بعد میں" چھوڑنا ہے۔

اس اصول کی واحد استثناء، جیسا کہ ہم نے اوپر ذکر کیا ہے، یہ ہے کہ macOS Big Sur اور macOS Catalina کے لیے، آپ کو آپریٹنگ سسٹم کی زیادہ تر اپ ڈیٹس ایک بڑے ڈاؤن لوڈ میں موصول ہوں گی، جس کے بعد انسٹال کرنے کے لیے علیحدہ ڈاؤن لوڈ اور اپ ڈیٹ کا عمل ہوگا۔ سفاری کا تازہ ترین ورژن۔

ہمیشہ کی طرح:

• آپ کے آئی فون یا آئی پیڈ پر: ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ
• آپ کے میک پر: ایپل مینو > اس میک کے بارے میں > سافٹ ویئر اپ ڈیٹ…

---