ایپل خاموشی سے اپنی تازہ ترین صفر دن کی تازہ کاری کرتا ہے - اب کیا ہے؟

Betterridge's Law of Headlines اس بات پر اصرار کرتا ہے کہ سوال کے طور پر سامنے آنے والی کسی بھی سرخی کا فوری طور پر سادہ "نہیں" سے جواب دیا جا سکتا ہے۔

بظاہر، اس وجدان کے پیچھے نظریہ (یہ اصل میں کوئی قانون نہیں ہے، نہ ہی ابھی تک کوئی اصول ہے، اور نہ ہی حقیقت میں ایک تجویز سے زیادہ کچھ) یہ ہے کہ اگر مصنف کو معلوم ہوتا کہ وہ کس کے بارے میں بات کر رہے ہیں، اور اس کے پاس اپنے کیس کی حمایت کرنے کے لیے حقیقی ثبوت موجود ہیں، انہوں نے سرخی کو ایک غیر منقسم حقیقت کے طور پر لکھا ہوگا۔

ٹھیک ہے، ہم یہاں ننگی سیکیورٹی پر صحافی نہیں ہیں، لہذا خوش قسمتی سے ہم اس قانون کے پابند نہیں ہیں۔

اوپر کی سرخی میں ہمارے اپنے سوال کا بے رحم جواب ہے، "ایپل کے علاوہ کوئی نہیں جانتا، اور ایپل نہیں کہہ رہا ہے۔"

ایک بہتر لیکن اعتراف کے ساتھ سڑک کے درمیانی جواب ہے، "دیکھو اور انتظار کرو."

تیز ردعمل

یہ کہانی کل دیر سے شروع ہوئی، 2023-06-10 برطانیہ کے وقت کے آخر میں، جب ہم نے جوش و خروش سے [کیا آپ کا مطلب ہے 'جوش سے؟' - ایڈ۔] نے ایپل کے بارے میں ایک ایڈوائزری لکھی۔ دوسری بار ریپڈ سیکیورٹی رسپانس (RSR):

یہ RSRs ہیں، جیسا کہ ہم پہلے وضاحت کی۔, ایپل کی واحد ایشو ایمرجنسی فکسز کو فوری طور پر فراہم کرنے کی کوشش جیسا کہ اچھی طرح سے منظم اوپن سورس پروجیکٹ عام طور پر کرتا ہے، جہاں زیرو ڈے پیچ اکثر ایک یا دو دن کے اندر سامنے آجاتا ہے جس میں کوئی مسئلہ پایا جاتا ہے، جس میں اپ ڈیٹس کے بعد اپ ڈیٹس ہوتے ہیں۔ فوری طور پر اگر مزید تحقیقات سے مزید مسائل کا پتہ چلتا ہے جن کو حل کرنے کی ضرورت ہے۔

اوپن سورس پروجیکٹس کی جانب سے اس طرح کا طریقہ اختیار کرنے کی ایک وجہ یہ ہے کہ وہ عام طور پر ہر سرکاری طور پر جاری کردہ ورژن کے مکمل سورس کوڈ کے ساتھ ڈاؤن لوڈ صفحہ فراہم کرتے ہیں، تاکہ اگر آپ تازہ ترین اصلاحات کو گھنٹوں میں اپنانے کے لیے جلدی کرتے ہیں، نہ کہ دنوں میں یا ہفتوں، اور وہ کام نہیں کرتے ہیں، پچھلے ورژن پر واپس آنے میں کوئی رکاوٹ نہیں ہے جب تک کہ فکس فار دی فکس تیار نہ ہو جائے۔

ایپل کا آفیشل اپ گریڈ پاتھ وے، تاہم، کم از کم اس کے موبائل ڈیوائسز کے لیے، ہمیشہ مکمل، سسٹم لیول کے پیچ فراہم کرنا رہا ہے جو کبھی بھی واپس نہیں جا سکتا، کیونکہ ایپل صارفین کو جان بوجھ کر اپنے سسٹمز کو کم کرنے کے خیال کو پسند نہیں کرتا۔ ان کے اپنے آلات کو جیل بریک کرنے یا متبادل آپریٹنگ سسٹم انسٹال کرنے کے مقصد کے لئے پرانے کیڑے کا استحصال کریں۔

نتیجے کے طور پر، یہاں تک کہ جب ایپل نے صفر دن کے سوراخوں کے لیے ہنگامی طور پر ایک-بگ یا دو-بگ فکسز تیار کیں جن کا پہلے ہی فعال طور پر استحصال کیا جا رہا تھا، کمپنی کو اس کے ساتھ آنے کی ضرورت تھی (اور آپ کو اس پر اعتماد کرنے کی ضرورت تھی) جو بنیادی طور پر ایک تھا۔ یک طرفہ اپ گریڈ, اگرچہ آپ کو واقعی ضرورت تھی ایک minmalistic اپ ڈیٹ واضح اور موجودہ خطرے کو پیوند کرنے کے لیے سسٹم کے ایک جزو کو۔

RSR عمل درج کریں، تیز رفتار پیچ کی اجازت دیتے ہوئے جو آپ جلدی میں انسٹال کر سکتے ہیں، جس کے لیے آپ کو اپنے فون کو 15 سے 45 منٹ تک بار بار ریبوٹس تک آف لائن کرنے کی ضرورت نہیں ہے، اور یہ کہ آپ بعد میں ہٹا سکتے ہیں (اور دوبارہ انسٹال، اور ہٹا سکتے ہیں، اور اسی طرح) اگر آپ فیصلہ کرتے ہیں کہ علاج بیماری سے بدتر ہے۔

آر ایس آر کے ذریعے عارضی طور پر پیچ کیے گئے کیڑے اگلے مکمل ورژن کے اپ گریڈ میں مستقل طور پر پیچ کیے جائیں گے…

…تاکہ RSRs کو اپنے نئے ورژن نمبر کی ضرورت نہ پڑے

اس کے بجائے، انہیں ایک ترتیب خط شامل کیا جاتا ہے، تاکہ iOS 16.5.1 کے لیے پہلا ریپڈ سیکیورٹی رسپانس (جو کل سامنے آیا) ترتیبات > جنرل > ہمارے بارے میں as 16.5.1 (ایک).

(ہم نہیں جانتے کہ اگر یہ سلسلہ کبھی گزر جاتا ہے تو کیا ہوتا ہے۔ (z)، لیکن ہم جواب دینے پر ایک چھوٹا سا دانو لینے کو تیار ہوں گے۔ (aa)، یا شاید (za) اگر حروف تہجی کی ترتیب کو اہم سمجھا جاتا ہے۔)

آج یہاں، کل چلے گئے۔

بہر حال، ہر کسی کو iOS اور iPadOS 16.5.1 (a) حاصل کرنے کا مشورہ دینے کے چند ہی گھنٹے بعد، کیونکہ یہ ایپل کے ویب کٹ کوڈ میں صفر دن کے استحصال کو ٹھیک کرتا ہے اور اس وجہ سے تقریباً یقینی طور پر اسپائی ویئر کو لگانا یا پکڑنا جیسے میلویئر ناسٹینیسیس کے لیے غلط استعمال کیا جا سکتا ہے۔ آپ کے فون سے نجی ڈیٹا…

…تبصرہ کرنے والے (جان مائیکل لیسلی کا خصوصی شکریہ، جنہوں نے پوسٹ کیا گیا ہمارے فیس بک پیج پر) نے یہ اطلاع دینا شروع کر دی کہ اپ ڈیٹ اب ظاہر نہیں ہو رہا تھا جب وہ استعمال کرتے تھے۔ ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ اپنے آلات کو اپ ڈیٹ کرنے کی کوشش کریں۔

ایپل کی اپنی ہے سیکورٹی پورٹل ابھی بھی [2023-07-11T15:00:00Z] تازہ ترین اپ ڈیٹس کی فہرست macOS 13.4.1 (a) اور iOS/iPadOS 16.5.1 (a)، مورخہ 2023-07-10، اس بارے میں کوئی نوٹ نہیں کہ آیا انہیں باضابطہ طور پر معطل کیا گیا ہے یا نہیں۔

لیکن کی رپورٹ MacRumors سائٹ کے ذریعے تجویز کرتا ہے کہ اپ ڈیٹس کو فی الحال واپس لے لیا گیا ہے۔

ایک تجویز کردہ وجہ یہ ہے کہ ایپل کا سفاری براؤزر اب ویب درخواستوں میں اپنی شناخت صارف-ایجنٹ سٹرنگ کے ساتھ کرتا ہے جس میں ضمیمہ شامل ہوتا ہے۔ (a) اس کے ویریئن نمبر میں۔

یہ ہے جو ہم نے دیکھا جب ہم نے iOS پر اپنے اپ ڈیٹ کردہ سفاری براؤزر کو سننے والے TCP ساکٹ پر اشارہ کیا (قابل بیانی کو بہتر بنانے کے لیے لائن بریک کے ساتھ فارمیٹ کیا گیا):

$ncat -vv -l 9999 Ncat: ورژن 7.94 ( https://nmap.org/ncat ) Ncat: سن رہا ہے :::9999 Ncat: 0.0.0.0:9999 پر سن رہا ہے Ncat: 10.42.42.1 سے کنکشن۔ Ncat: 10.42.42.1:13337 سے کنکشن۔ GET/HTTP/1.1 میزبان: 10.42.42.42:9999 اپ گریڈ-غیر محفوظ-درخواستیں: 1 قبول کریں: text/html,application/xhtml+xml, application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPhone؛ CPU iPhone OS 16_5_1 Mac OS X کی طرح) AppleWebKit/605.1.15 (KHTML، جیسے Gecko) ورژن/16.5.2 (a) Mobile/15E148 Safari/604.1 Accept-Language: en-GB,en; q=0.9 Accept-Encoding: gzip، deflate کنکشن: NCAT DEBUG کو زندہ رکھیں: بند کرنا fd 5۔

کچھ MacRumors مبصرین کے مطابق، کہ Version/ سٹرنگ، جیسا کہ یہ معمول کے نمبروں اور نقطوں پر مشتمل ہوتا ہے اور گول بریکٹ میں کچھ عجیب اور غیر متوقع متن کے ساتھ، کچھ ویب سائٹس کو الجھا رہا ہے۔

(ستم ظریفی یہ ہے کہ ہم نے بظاہر ورژن-سٹرنگ-مسپرسنگ-بلیم-گیم میں جن سائٹوں کو الزام لگایا ہے وہ سبھی ایسی خدمات لگتی ہیں جن تک عام طور پر براؤزر کے مقابلے میں سرشار ایپس تک رسائی حاصل ہوتی ہے، لیکن نظریہ ایسا لگتا ہے کہ وہ بظاہر اس پر گلا گھونٹنا 16.5.2 (a) اگر آپ سفاری کے تازہ ترین ورژن کے ساتھ ان کا دورہ کرنے کا فیصلہ کرتے ہیں تو ورژن شناخت کنندہ۔)

کیا کیا جائے؟

سخت الفاظ میں، صرف ایپل جانتا ہے کہ یہاں کیا ہو رہا ہے، اور یہ نہیں کہہ رہا ہے۔ (کم از کم، سرکاری طور پر اس کے سیکورٹی پورٹل کے ذریعے نہیں (HT201222) یا اس کا تیز حفاظتی جوابات کے بارے میں صفحہ (HT201224.)

ہم تجویز کرتے ہیں، اگر آپ کے پاس پہلے سے ہی اپ ڈیٹ موجود ہے، تو آپ اسے اس وقت تک نہ ہٹائیں جب تک کہ یہ آپ کے فون کو کام کے لیے درکار ویب سائٹس یا ایپس کے ساتھ استعمال کرنے کی آپ کی اہلیت میں حقیقی طور پر مداخلت نہ کرے، یا جب تک کہ آپ کا اپنا آئی ٹی ڈیپارٹمنٹ واضح طور پر آپ کو رول بیک کرنے کو نہ کہے۔ macOS، iOS یا iPadOS کے "non-(a)" ذائقے کے لیے۔

بہر حال، اس اپ ڈیٹ کو تیز رفتار ردعمل کے لیے موزوں سمجھا گیا کیونکہ اس نے جس استحصال کو ٹھیک کیا ہے وہ جنگلی، براؤزر پر مبنی ریموٹ کوڈ ایگزیکیوشن (RCE) ہول ہے۔

اگر آپ کو RSR کو ہٹانے کی ضرورت ہے یا آپ چاہتے ہیں تو آپ یہ کر سکتے ہیں:

• اگر آپ کے پاس آئی فون یا آئی پیڈ ہے۔ کو دیکھیے ترتیبات > جنرل > ہمارے بارے میں > iOS/iPadOS ورژن اور منتخب کریں سیکیورٹی رسپانس کو ہٹا دیں۔.
• اگر آپ کے پاس میک ہے۔ کو دیکھیے نظام کی ترتیبات > جنرل > ہمارے بارے میں اور کلک کریں (i) آئٹم کے آخر میں آئیکن میکوس وینٹورا.

نوٹ کریں کہ ہم نے RSR کو فوراً ہی MacOS Ventura 13.4.1 اور iOS 16.5.1 پر انسٹال کیا ہے، اور سفاری یا ایج کے ذریعے اپنے معمول کے ویب ہانٹس کو براؤز کرنے میں کوئی پریشانی نہیں ہوئی ہے۔ (یاد رکھیں کہ تمام براؤزر Apple موبائل آلات پر WebKit استعمال کرتے ہیں!)

اس لیے ہم اپ ڈیٹ کو ہٹانے کا ارادہ نہیں رکھتے، اور ہم تجرباتی طور پر ایسا کرنے کے لیے تیار نہیں ہیں، کیونکہ ہمیں اس بات کا کوئی اندازہ نہیں ہے کہ آیا ہم اسے بعد میں دوبارہ انسٹال کر سکیں گے۔

تبصرہ کرنے والوں نے مشورہ دیا ہے کہ جب وہ بغیر پیچ والے آلے سے کوشش کرتے ہیں تو پیچ کی اطلاع نہیں ملتی ہے، لیکن ہم نے پہلے سے پیچ شدہ ڈیوائس کو دوبارہ پیچ کرنے کی کوشش نہیں کی ہے کہ آیا یہ آپ کو دوبارہ اپ ڈیٹ حاصل کرنے کے لیے جادوئی ٹکٹ دیتا ہے۔

بس ڈالیں

• اگر آپ پہلے ہی macOS 13.4.1 (a) یا iOS/iPadOS 16.5.1 (a) ڈاؤن لوڈ کر چکے ہیں، اپ ڈیٹ کو برقرار رکھیں جب تک کہ آپ کو اس سے بالکل چھٹکارا حاصل نہ کرنا پڑے، بشرطیکہ یہ آپ کو صفر دن کے سوراخ سے محفوظ بنا رہا ہو۔
• اگر آپ نے اسے انسٹال کیا ہے اور واقعی ضرورت ہے یا اسے ہٹانا چاہتے ہیں، اوپر ہماری ہدایات دیکھیں، لیکن فرض کریں کہ آپ اسے بعد میں دوبارہ انسٹال نہیں کر پائیں گے، اور اس لیے آپ اپنے آپ کو نیچے کی تیسری قسم میں ڈال دیں گے۔
• اگر آپ کو ابھی تک یہ نہیں ملا ہے تو اس جگہ کو دیکھیں۔ ہم اندازہ لگا رہے ہیں کہ (a) پیچ کو تیزی سے a سے بدل دیا جائے گا۔ (b) پیچ، کیونکہ ان "حروفی اپ ڈیٹس" کا پورا خیال یہ ہے کہ ان کا مطلب تیز رفتار ردعمل ہے۔ لیکن صرف ایپل یقینی طور پر جانتا ہے۔

ہم کل سے اپنے معمول کے مشورے کو یہ کہہ کر پیچ کریں گے: تاخیر نہ کرو؛ جیسے ہی ایپل اور آپ کا آلہ آپ کو اجازت دے گا اسے کریں۔

---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://nakedsecurity.sophos.com/2023/07/11/apple-silently-pulls-its-latest-zero-day-update-what-now/