অ্যাপলের গোপনীয়তা বেরিয়ে এসেছে: 3 শূন্য-দিন স্থির, তাই এখনই প্যাচ করতে ভুলবেন না!

মনে রাখবেন যে জিপ-ঠোঁট কিন্তু সুপার-ফাস্ট আপডেট যে অ্যাপল তিন সপ্তাহ আগে বের করে দেওয়া হয়েছে, 2023-05-01 তারিখে?

সেই আপডেটটি ছিল অ্যাপলের নতুন ফ্যাঙ্গলে প্রথম দ্রুত নিরাপত্তা প্রতিক্রিয়া প্রক্রিয়া, যার মাধ্যমে কোম্পানি একটি পূর্ণ আকারের অপারেটিং সিস্টেম আপডেটের মধ্য দিয়ে না গিয়ে মূল সিস্টেমের উপাদানগুলির জন্য সমালোচনামূলক প্যাচগুলি পুশ করতে পারে যা আপনাকে একটি নতুন সংস্করণ নম্বরে নিয়ে যায়।

যে সপ্তাহে আমরা নেকেড সিকিউরিটি পডকাস্টে চিন্তা করেছি:

অ্যাপল সবেমাত্র "র্যাপিড সিকিউরিটি রেসপন্স" চালু করেছে। লোকেরা রিপোর্ট করছে যে তারা ডাউনলোড করতে সেকেন্ড সময় নেয় এবং একটি সুপার-দ্রুত রিবুট প্রয়োজন। [কিন্তু] টাইট-ঠোঁট থাকার জন্য [আপডেট সম্পর্কে], তারা জিপ-ঠোঁট আছে. এটা কি সম্পর্কে ছিল একেবারে কোন তথ্য. কিন্তু এটা চমৎকার এবং দ্রুত ছিল!

কিছু জন্য ভাল

দুর্ভাগ্যবশত, এই নতুন র‍্যাপিড সিকিউরিটি রেসপন্সগুলি শুধুমাত্র ম্যাকওএস (বর্তমানে ভেনচুরা) এবং সর্বশেষ iOS/iPadOS (বর্তমানে 16 সংস্করণে) এর সর্বশেষ সংস্করণের জন্য উপলব্ধ ছিল, যা পুরানো Macs এবং iDevice-এর ব্যবহারকারীদের পাশাপাশি Apple ঘড়ির মালিকদের ছেড়ে দিয়েছে। এবং অ্যাপল টিভি, অন্ধকারে।

অ্যাপলের নতুন দ্রুত প্যাচগুলির বর্ণনা থেকে বোঝা যায় যে তারা সাধারণত শূন্য-দিনের বাগগুলির সাথে মোকাবিলা করবে যা সাফারি ব্রাউজার এবং ওয়েবকিটের মতো মূল সফ্টওয়্যারকে প্রভাবিত করে, যা ওয়েব রেন্ডারিং ইঞ্জিন যা প্রতিটি ব্রাউজার আইফোন এবং আইপ্যাডে ব্যবহার করতে বাধ্য।

প্রযুক্তিগতভাবে, আপনি একটি আইফোন বা আইপ্যাড ব্রাউজার অ্যাপ তৈরি করতে পারেন যা ক্রোমিয়াম ইঞ্জিন ব্যবহার করে, যেমন ক্রোম এবং এজ করে, বা গেকো ইঞ্জিন, যেমন মজিলার ব্রাউজারগুলি করে, তবে অ্যাপল এটিকে অ্যাপ স্টোরে যেতে দেবে না যদি আপনি করেন।

এবং অ্যাপ স্টোর অ্যাপলের মোবাইল ডিভাইসগুলির জন্য অ্যাপগুলির একমাত্র "প্রাচীরের বাগান" উত্স, তাই এটি হল: এটি ওয়েবকিট উপায়, বা কোনও উপায় নেই৷

জটিল ওয়েবকিট বাগগুলি অন্যান্য অনেক অ্যাপ্লিকেশনের বাগগুলির চেয়ে বেশি বিপজ্জনক হওয়ার কারণ হল যে ব্রাউজারগুলি ইচ্ছাকৃতভাবে ইন্টারনেটের যে কোনও জায়গা থেকে এবং যে কোনও জায়গা থেকে সামগ্রী আনতে তাদের সময় ব্যয় করে।

ব্রাউজারগুলি তখন এই অবিশ্বস্ত ফাইলগুলিকে প্রক্রিয়া করে, যা অন্য লোকেদের ওয়েব সার্ভার দ্বারা দূরবর্তীভাবে সরবরাহ করা হয়, সেগুলিকে দর্শনযোগ্য, ক্লিকযোগ্য সামগ্রীতে রূপান্তর করে, এবং আপনি তাদের সাথে ইন্টারঅ্যাক্ট করতে পারেন এমন ওয়েব পৃষ্ঠা হিসাবে প্রদর্শন করে৷

আপনি আশা করেন যে আপনার ওয়েবক্যাম সক্রিয় করা, আপনার ডিভাইসে আগে থেকে সংরক্ষিত ফাইলগুলি পড়া বা নতুন সফ্টওয়্যার ইনস্টল করার মতো সম্ভাব্য বিপজ্জনক বলে বিবেচিত ক্রিয়া সম্পাদন করার আগে আপনার ব্রাউজার সক্রিয়ভাবে আপনাকে সতর্ক করবে এবং স্পষ্টভাবে অনুমতির অনুরোধ করবে৷

কিন্তু আপনি এমন সামগ্রীও আশা করেন যেগুলি সরাসরি বিপজ্জনক বলে বিবেচিত হয় না, যেমন ছবিগুলি প্রদর্শিত হবে, ভিডিওগুলি দেখানো হবে, অডিও ফাইলগুলি চালানো হবে এবং আরও অনেক কিছু প্রক্রিয়া করা হবে এবং স্বয়ংক্রিয়ভাবে আপনার কাছে উপস্থাপন করা হবে৷

সহজ কথায়, নিছক পরিদর্শন একটি ওয়েব পৃষ্ঠা আপনাকে আপনার ডিভাইসে ম্যালওয়্যার ইমপ্লান্ট করা, আপনার ডেটা চুরি, আপনার পাসওয়ার্ড ছিনিয়ে নেওয়া, আপনার ডিজিটাল জীবন স্পাইওয়্যারের শিকার হওয়ার, বা এই ধরণের কোনো অপকর্মের ঝুঁকিতে ফেলবে না৷

একটি বাগ আছে যদি না

যদি না, অবশ্যই, ওয়েবকিটে একটি বাগ (অথবা সম্ভবত বেশ কয়েকটি বাগ যা কৌশলগতভাবে একত্রিত করা যেতে পারে), যাতে শুধুমাত্র ইচ্ছাকৃতভাবে বুবি-ট্র্যাপ করা ইমেজ ফাইল, বা ভিডিও, বা জাভাস্ক্রিপ্ট পপআপ তৈরি করে, আপনার ব্রাউজারকে কিছু করার জন্য প্রতারিত করা যেতে পারে এটা উচিত নয়

যদি সাইবার অপরাধী, বা স্পাইওয়্যার বিক্রেতা, বা জেলব্রেকার, বা এমন একটি সরকারের সুরক্ষা পরিষেবা যা আপনাকে পছন্দ করে না, বা প্রকৃতপক্ষে আপনার সবচেয়ে খারাপ স্বার্থের সাথে কেউ এই ধরণের একটি শোষণযোগ্য বাগ উন্মোচন করে, তারা সাইবার নিরাপত্তার সাথে আপস করতে সক্ষম হতে পারে আপনার পুরো ডিভাইসের…

…শুধুমাত্র আপনাকে একটি অন্যথায় নির্দোষ-সুদর্শন ওয়েবসাইটে প্রলুব্ধ করে যা পরিদর্শন করা সম্পূর্ণ নিরাপদ হওয়া উচিত।

ঠিক আছে, অ্যাপল তার সমস্ত সমর্থিত পণ্যগুলির জন্য সম্পূর্ণ-অন আপডেট সহ তার সাম্প্রতিক র‌্যাপিড সিকিউরিটি রেসন্স প্যাচগুলি অনুসরণ করেছে এবং সেই প্যাচগুলির জন্য সুরক্ষা বুলেটিনগুলির মধ্যে, আমরা অবশেষে সেই দ্রুত প্রতিক্রিয়াগুলি কী ছিল তা খুঁজে পেয়েছি। সেখানে ঠিক করতে.

দুই শূন্য-দিন:

• CVE-2023-28204: ওয়েবকিট। একটি সীমার বাইরে পড়া উন্নত ইনপুট বৈধতা দিয়ে সম্বোধন করা হয়েছিল। ওয়েব কন্টেন্ট প্রক্রিয়াকরণ সংবেদনশীল তথ্য প্রকাশ করতে পারে. অ্যাপল একটি রিপোর্ট সম্পর্কে সচেতন যে এই সমস্যাটি সক্রিয়ভাবে শোষণ করা হয়েছে।
• CVE-2023-32373: ওয়েবকিট। একটি ব্যবহার-পর-মুক্ত সমস্যা উন্নত মেমরি ব্যবস্থাপনার সাথে সমাধান করা হয়েছিল। দূষিতভাবে তৈরি করা ওয়েব বিষয়বস্তু প্রক্রিয়াকরণ নির্বিচারে কোড সম্পাদনের দিকে নিয়ে যেতে পারে। অ্যাপল একটি রিপোর্ট সম্পর্কে সচেতন যে এই সমস্যাটি সক্রিয়ভাবে শোষণ করা হয়েছে।

সাধারণভাবে বলতে গেলে, যখন WebKit-এ এই ধরণের দুটি শূন্য-দিন একই সময়ে প্রদর্শিত হয়, তখন এটি একটি ভাল বাজি যে তারা অপরাধীদের দ্বারা একত্রিত হয়ে একটি দ্বি-পদক্ষেপ টেকওভার আক্রমণ তৈরি করেছে৷

বাগগুলি যা স্পর্শ করা উচিত নয় এমন ডেটা ওভাররাইট করে মেমরি নষ্ট করে (যেমন CVE-2023-32373) সবসময় খারাপ, কিন্তু আধুনিক অপারেটিং সিস্টেমে অনেক রানটাইম সুরক্ষা রয়েছে যা বগি প্রোগ্রামের নিয়ন্ত্রণ নিতে এই ধরনের বাগগুলিকে শোষণ করা বন্ধ করার লক্ষ্য রাখে।

উদাহরণস্বরূপ, যদি অপারেটিং সিস্টেম এলোমেলোভাবে বেছে নেয় যেখানে প্রোগ্রাম এবং ডেটা মেমরিতে শেষ হবে, সাইবার অপরাধীরা প্রায়শই দুর্বল প্রোগ্রামটি ক্র্যাশ করার চেয়ে বেশি কিছু করতে পারে না, কারণ তারা ভবিষ্যদ্বাণী করতে পারে না যে তারা যে কোডটি আক্রমণ করছে তা কীভাবে মেমরিতে রাখা হয়েছে। .

কিন্তু কোথায় আছে সে সম্পর্কে সুনির্দিষ্ট তথ্য সহ, একটি অশোধিত, "ক্র্যাশটাস্টিক" শোষণকে কখনও কখনও একটি "ক্র্যাশ-এন্ড-কিপ-কন্ট্রোল" শোষণে পরিণত করা যেতে পারে: যা একটি স্ব-বর্ণনামূলক নামে পরিচিত দূরবর্তী কোড নির্বাহ গর্ত.

অবশ্যই, যে বাগগুলি আক্রমণকারীদের মেমরির অবস্থানগুলি থেকে পড়তে দেয় যা তাদের অনুমিত নয় (যেমন CVE-2023-28204) শুধুমাত্র সরাসরি ডেটা ফাঁস এবং ডেটা চুরির শোষণের দিকে নিয়ে যেতে পারে না, তবে পরোক্ষভাবে "ক্র্যাশ-এন্ড-কিপ-" এর দিকেও নিয়ে যেতে পারে। একটি প্রোগ্রামের অভ্যন্তরে মেমরি লেআউট সম্পর্কে গোপনীয়তা প্রকাশ করে এবং এটি দখল করা সহজ করে আক্রমণগুলি নিয়ন্ত্রণ করুন।

আশ্চর্যজনকভাবে, সর্বশেষ আপডেটগুলিতে একটি তৃতীয় শূন্য-দিন প্যাচ করা হয়েছে, তবে এটি দৃশ্যত দ্রুত সুরক্ষা প্রতিক্রিয়াতে স্থির করা হয়নি।

• CVE-2023-32409: ওয়েবকিট। সমস্যাটি উন্নত বাউন্ড চেক দিয়ে সমাধান করা হয়েছিল। একটি দূরবর্তী আক্রমণকারী ওয়েব সামগ্রী স্যান্ডবক্স থেকে বেরিয়ে আসতে সক্ষম হতে পারে৷ অ্যাপল একটি রিপোর্ট সম্পর্কে সচেতন যে এই সমস্যাটি সক্রিয়ভাবে শোষণ করা হয়েছে।

আপনি যেমন কল্পনা করতে পারেন, এই তিনটি শূন্য-দিন একত্রিত করা একজন আক্রমণকারীর বাড়িতে চালানোর সমতুল্য হবে: প্রথম বাগটি দ্বিতীয় বাগটিকে নির্ভরযোগ্যভাবে কাজে লাগাতে প্রয়োজনীয় গোপনীয়তা প্রকাশ করে, এবং দ্বিতীয় বাগটি তৃতীয়টি শোষণ করার জন্য কোড স্থাপন করার অনুমতি দেয়। …

…যে সময়ে, আক্রমণকারী শুধুমাত্র আপনার বর্তমান ওয়েব পৃষ্ঠার "প্রাচীরের বাগান" দখল করেনি, বরং আপনার পুরো ব্রাউজারের নিয়ন্ত্রণ দখল করেছে, বা আরও খারাপ।

কি করো?

আপনি patched করছি নিশ্চিত করুন! (যাও সেটিংস > সাধারণ > সফ্টওয়্যার আপডেট.)

এমনকি যে ডিভাইসগুলি ইতিমধ্যেই 2023 সালের মার্চের শুরুতে একটি দ্রুত সুরক্ষা প্রতিক্রিয়া পেয়েছে তাদের এখনও শূন্য-দিন আছে প্যাচ করা।

এবং সমস্ত প্ল্যাটফর্মগুলি বাগগুলির জন্য অন্যান্য অনেক সুরক্ষা সমাধান পেয়েছে যা আক্রমণের জন্য বিভিন্ন হিসাবে ব্যবহার করা যেতে পারে: গোপনীয়তা পছন্দগুলিকে বাইপাস করে; লকস্ক্রিন থেকে ব্যক্তিগত তথ্য অ্যাক্সেস করা; অনুমতি ছাড়া আপনার অবস্থানের তথ্য পড়া; অন্যান্য অ্যাপ্লিকেশন থেকে নেটওয়ার্ক ট্রাফিক গুপ্তচরবৃত্তি; এবং আরো

আপডেট করার পরে, আপনি নিম্নলিখিত সংস্করণ সংখ্যা দেখতে হবে:

• watchOS: এখন সংস্করণে 9.5
• টিভিওএস: এখন সংস্করণে 16.5
• iOS 15 এবং iPadOS 15: এখন সংস্করণে 15.7.6
• iOS 16 এবং iPadOS 16: এখন সংস্করণে 16.5
• ম্যাকোস বিগ সুর: এখন এ 11.7.7
• macOS মন্টেরি: এখন এ 12.6.6
• macOS Ventura: এখন এ 13.4

গুরুত্বপূর্ণ তথ্য: আপনার যদি macOS Big Sur বা macOS Monterey থাকে, সেই সমস্ত গুরুত্বপূর্ণ ওয়েবকিট প্যাচগুলি অপারেটিং সিস্টেম সংস্করণ আপডেটের সাথে বান্ডিল করা হয় না কিন্তু একটি পৃথক আপডেট প্যাকেজে সরবরাহ করা হয় সাফারি 16.5.

মজা কর!

---

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোএআইস্ট্রিম। Web3 ডেটা ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
• PREIPO® এর সাথে PRE-IPO কোম্পানিতে শেয়ার কিনুন এবং বিক্রি করুন। এখানে প্রবেশ করুন.
• উত্স: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/