ایپل نے خاموشی سے آئی او ایس میں مزید اپ ڈیٹس متعارف کرائے ہیں تاکہ فعال طور پر استعمال شدہ صفر دن کی سیکیورٹی کے خطرے کو ٹھیک کیا جا سکے جسے اس نے اس مہینے کے شروع میں نئے آلات میں بنایا تھا۔ WebKit میں پائی جانے والی کمزوری، حملہ آوروں کو نقصان دہ ویب مواد بنانے کی اجازت دے سکتی ہے جو صارف کے آلے پر ریموٹ کوڈ ایگزیکیوشن (RCE) کی اجازت دیتا ہے۔
ایک تازہ کاری۔ بدھ کو جاری کیا گیا، iOS 12.5.6، درج ذیل ماڈلز پر لاگو ہوتا ہے: iPhone 5S، iPhone 6، iPhone 6 Plus، iPad Air، iPad mini 2، iPad mini 3، اور iPod touch 6th جنریشن۔
سوال میں خامی (CVE-2022-32893) کو ایپل نے WebKit میں تحریری مسئلہ کے طور پر بیان کیا ہے۔ اسے بہتر حدوں کی جانچ کے ساتھ پیچ میں حل کیا گیا تھا۔ ایپل نے تسلیم کیا کہ بگ فعال استحصال کے تحت ہے، اور وہ متاثرہ آلات کے صارفین کو فوری طور پر اپ ڈیٹ کرنے کی تاکید کر رہا ہے۔
ایپل نے پہلے ہی کچھ ڈیوائسز کے لیے کمزوری کو ٹھیک کر دیا تھا - اس کے ساتھ ساتھ CVE-2022-32894 کے طور پر ٹریک کردہ دانا کی خرابی بھی۔ اگست میں پہلے iOS 15.6.1 میں۔ وہ ہے اپ ڈیٹ جس میں iPhone 6S اور بعد میں، iPad Pro (تمام ماڈلز)، iPad Air 2 اور بعد میں، iPad 5th جنریشن اور بعد میں، iPad mini 4 اور بعد میں، اور iPod touch (7th جنریشن) کا احاطہ کیا گیا ہے۔
پیچ کا تازہ ترین دور ایسا لگتا ہے کہ ایپل iOS کے پرانے ورژن چلانے والے آئی فونز کے لیے تحفظ شامل کر کے اپنے تمام اڈوں کا احاطہ کر رہا ہے، نامور سیکیورٹی مبشر پال ڈکلن۔
"ہم اندازہ لگا رہے ہیں کہ ایپل نے پرانے فونز کے کم از کم کچھ ہائی پروفائل (یا ہائی رسک، یا دونوں) صارفین کو ضرور دیکھا ہوگا جن سے اس طرح سمجھوتہ کیا گیا تھا، اور خاص احتیاط کے طور پر ہر ایک کے لیے تحفظ ختم کرنے کا فیصلہ کیا، " اس نے لکھا ایک پوسٹ میں سوفوس نیکڈ سیکیورٹی بلاگ پر۔
ڈکلن نے وضاحت کرتے ہوئے کہا کہ آئی او ایس کے دونوں ورژنز میں بگ کو ٹھیک کرنے کے لیے ایپل کی طرف سے دوہری کوریج اس تبدیلی کی وجہ سے ہے کہ پلیٹ فارم کے کون سے ورژن آئی فونز پر چلتے ہیں۔
انہوں نے کہا کہ ایپل کے iOS 13.1 اور iPadOS 13.1 کو جاری کرنے سے پہلے، iPhones اور iPads ایک ہی آپریٹنگ سسٹم استعمال کرتے تھے، جسے دونوں ڈیوائسز کے لیے iOS کہا جاتا ہے۔ اب، iOS 12.x iPhone 6 اور اس سے پہلے کے آلات کا احاطہ کرتا ہے، جبکہ iOS 13.1 اور بعد کے ورژن iPhone 6s اور اس کے بعد جاری کردہ آلات پر چلتے ہیں۔
دوسری صفر دن کی خامی جسے ایپل نے اس ماہ کے شروع میں پیچ کیا تھا، CVE-2022-32894، ایک دانا کی کمزوری تھی جو پورے ڈیوائس کو ٹیک اوور کرنے کی اجازت دے سکتی ہے۔ لیکن جب کہ iOS 13 اس خامی سے متاثر ہوا تھا - اور اس طرح اس کے لیے پہلے کی اپ ڈیٹ میں ایک پیچ مل گیا تھا - یہ iOS 12 کو متاثر نہیں کرتا، ڈکلن نے مشاہدہ کیا، "جو تقریباً یقینی طور پر خود آپریٹنگ سسٹم کے مکمل سمجھوتہ کے خطرے سے بچتا ہے" آلات
ویب کٹ: سائبر اٹیک کی ایک وسیع سطح
WebKit وہ براؤزر انجن ہے جو سفاری اور دیگر تمام فریق ثالث براؤزرز کو طاقت دیتا ہے جو iOS پر کام کرتے ہیں۔ CVE-2022-32893 کا استحصال کرکے، ایک دھمکی آمیز اداکار ویب سائٹ میں بدنیتی پر مبنی مواد بنا سکتا ہے۔ پھر، اگر کوئی متاثرہ آئی فون سے سائٹ پر جاتا ہے، تو اداکار دور سے اپنے آلے پر میلویئر کو چلا سکتا ہے۔
عام طور پر WebKit ایپل کے لیے ایک مستقل کانٹا رہا ہے جب صارفین کو خطرات سے دوچار کرنے کی بات آتی ہے کیونکہ یہ آئی فونز اور ایپل کے دیگر آلات سے آگے دوسرے براؤزرز تک پھیل جاتی ہے جو اسے استعمال کرتے ہیں — بشمول فائر فاکس، ایج اور کروم — ممکنہ طور پر لاکھوں صارفین کو خطرے میں ڈالتے ہیں۔ دیا ہوا بگ.
"یاد رکھیں کہ WebKit کیڑے موجود ہیں، سفاری کے نیچے سافٹ ویئر کی تہہ پر، تاکہ ایپل کا اپنا سفاری براؤزر واحد ایپ نہیں ہے جو اس خطرے سے خطرے میں ہے،" ڈکلن نے مشاہدہ کیا۔
مزید برآں، کوئی بھی ایپ جو iOS پر عام براؤزنگ کے علاوہ دیگر مقاصد کے لیے ویب مواد دکھاتی ہے — جیسے کہ اس کے مدد کے صفحات میں، اس کے "کے بارے میں" اس نے مزید کہا کہ اسکرین، یا بلٹ ان "منی براؤزر" میں بھی - ویب کٹ کو ہڈ کے نیچے استعمال کرتا ہے۔
"دوسرے الفاظ میں، صرف 'سفاری سے بچنا' اور فریق ثالث کے براؤزر پر قائم رہنا [ویب کٹ بگ کے لیے] مناسب حل نہیں ہے،" ڈکلن نے لکھا۔
ایپل انڈر اٹیک
ماہرین کا کہنا ہے کہ جب کہ صارفین اور پیشہ ور افراد یکساں طور پر ایپل کے میک اور آئی او ایس پلیٹ فارمز کو مائیکروسافٹ ونڈوز کے مقابلے میں زیادہ محفوظ سمجھتے ہیں - اور یہ عام طور پر کئی وجوہات کی بناء پر درست رہا ہے - ماہرین کا کہنا ہے کہ لہر کا رخ موڑنا شروع ہو گیا ہے۔
درحقیقت، ایک ابھرتا ہوا خطرے کا منظر نامہ جو کہ OS کو ہی نہیں بلکہ ہر جگہ موجود ویب ٹیکنالوجیز کو نشانہ بنانے میں زیادہ دلچسپی دکھا رہا ہے۔ ہدف کو وسیع کر دیا ہے۔ ایپل کی پیٹھ پر، کے مطابق دھمکی کی رپورٹ جنوری میں جاری کیا گیا، اور کمپنی کی دفاعی پیچنگ کی حکمت عملی اس کی عکاسی کرتی ہے۔
ایپل نے اس سال کم از کم چار صفر دن کی خامیوں کو ٹھیک کیا ہے، پچھلے iOS اور macOS کے خطرات کے لیے دو پیچ سامنے آئے ہیں۔ جنوری اور ایک میں فروری — جس میں سے مؤخر الذکر نے WebKit میں ایک اور فعال طور پر استحصال کا مسئلہ حل کیا۔
مزید یہ کہ پچھلے سال 12 صفر دن کے خطرات میں سے 57 جو کہ گوگل کے پروجیکٹ زیرو کے محققین نے ٹریک MacOS، iOS، iPadOS، اور WebKit کو متاثر کرنے والے مسائل کے ساتھ ایپل سے متعلق تھے (یعنی، 20% سے زیادہ)۔
