MacOS और iOS के लिए अलग-अलग सुधार कर्नेल और वेबकिट में संबंधित खामियों को ठीक करता है जो खतरे वाले अभिनेताओं को उपकरणों पर कब्जा करने की अनुमति दे सकते हैं और हमले के अधीन हैं।
Apple macOS, iPhone और iPad उपयोगकर्ताओं से इस सप्ताह संबंधित अपडेट तुरंत स्थापित करने का आग्रह कर रहा है जिसमें सक्रिय हमले के तहत दो शून्य-दिनों के लिए फ़िक्सेस शामिल हैं। पैच कमजोरियों के लिए हैं जो हमलावरों को मनमाना कोड निष्पादित करने और अंततः उपकरणों को लेने की अनुमति देते हैं।
चल रहे प्रभावित उपकरणों के लिए पैच उपलब्ध हैं आईओएस 15.6.1 और मैकोज़ मोंटेरे 12.5.1. पैच दो दोषों को संबोधित करते हैं, जो मूल रूप से किसी भी ऐप्पल डिवाइस को प्रभावित करते हैं जो कि आईओएस 15 या उसके डेस्कटॉप ओएस के मोंटेरे संस्करण को चला सकता है, ऐप्पल द्वारा बुधवार को जारी सुरक्षा अपडेट के मुताबिक।
त्रुटियों में से एक कर्नेल बग है (CVE-2022-32894), जो आईओएस और मैकओएस दोनों में मौजूद है। Apple के अनुसार यह एक "आउट-ऑफ-बाउंड्स राइट इश्यू है [कि] बेहतर सीमा जाँच के साथ संबोधित किया गया था।"
ऐप्पल के अनुसार, भेद्यता एक एप्लिकेशन को कर्नेल विशेषाधिकारों के साथ मनमाने कोड को निष्पादित करने की अनुमति देती है, जो सामान्य अस्पष्ट फैशन में कहा गया है कि एक रिपोर्ट है कि इसका "सक्रिय रूप से शोषण किया गया हो सकता है।"
दूसरी खामी को वेबकिट बग (सीवीई-2022-32893 के रूप में ट्रैक किया गया) के रूप में पहचाना जाता है, जो कि एक आउट-ऑफ-बाउंड राइट इश्यू है जिसे ऐप्पल ने बेहतर सीमा जाँच के साथ संबोधित किया। दोष दुर्भावनापूर्ण रूप से तैयार की गई वेब सामग्री को संसाधित करने की अनुमति देता है जिससे कोड निष्पादन हो सकता है, और ऐप्पल के अनुसार सक्रिय शोषण के तहत भी बताया गया है। वेबकिट एक ब्राउज़र इंजन है जो सफारी और आईओएस पर काम करने वाले अन्य सभी तृतीय-पक्ष ब्राउज़रों को शक्ति प्रदान करता है।
पेगासस जैसा परिदृश्य
दोनों दोषों की खोज, जिसके बारे में Apple के प्रकटीकरण से थोड़ा अधिक जाना जाता है, का श्रेय एक अनाम शोधकर्ता को दिया गया।
एक विशेषज्ञ ने चिंता व्यक्त की कि नवीनतम ऐप्पल खामियां "प्रभावी रूप से हमलावरों को डिवाइस तक पूर्ण पहुंच प्रदान कर सकती हैं," वे एक बना सकते हैं पेगासस की तरह उस परिदृश्य के समान जिसमें राष्ट्र-राज्य एपीटी ने लक्ष्यों को रोक दिया स्पाइवेयर के साथ एक iPhone भेद्यता का फायदा उठाकर इज़राइली NSO समूह द्वारा बनाया गया।
"ज्यादातर लोगों के लिए: दिन के अंत तक सॉफ़्टवेयर अपडेट करें," ट्वीट किए सोशलप्रूफ सिक्योरिटी के सीईओ राहेल टोबैक, शून्य दिनों के संबंध में। "अगर खतरा मॉडल ऊंचा है (पत्रकार, कार्यकर्ता, राष्ट्र राज्यों द्वारा लक्षित, आदि): अभी अपडेट करें," टोबैक ने चेतावनी दी।
शून्य-दिन प्रचुर मात्रा में
इस सप्ताह Google की अन्य खबरों के साथ खामियों का खुलासा किया गया था कि यह पैचिंग कर रहा था अपने क्रोम ब्राउज़र के लिए इस साल अब तक का पांचवां शून्य-दिवस, सक्रिय हमले के तहत एक मनमाना कोड निष्पादन बग।
शीर्ष तकनीकी विक्रेताओं से खतरे वाले अभिनेताओं द्वारा रोके जाने की खबर से पता चलता है कि शीर्ष स्तरीय तकनीकी कंपनियों के अपने सॉफ़्टवेयर में बारहमासी सुरक्षा मुद्दों को हल करने के सर्वोत्तम प्रयासों के बावजूद, यह एक कठिन लड़ाई बनी हुई है, वरिष्ठ तकनीकी निदेशक एंड्रयू व्हेली ने कहा। Promon, एक नॉर्वेजियन ऐप सुरक्षा कंपनी।
उन्होंने कहा कि आईओएस में खामियां विशेष रूप से चिंताजनक हैं, क्योंकि आईफ़ोन की सर्वव्यापकता और उपयोगकर्ताओं को अपने दैनिक जीवन के लिए मोबाइल उपकरणों पर पूरी तरह से निर्भरता को देखते हुए, उन्होंने कहा। हालांकि, इन उपकरणों की सुरक्षा के लिए न केवल विक्रेताओं पर बल्कि उपयोगकर्ताओं के लिए मौजूदा खतरों के बारे में अधिक जागरूक होने के लिए, व्हेल ने देखा।
"जबकि हम सभी अपने मोबाइल उपकरणों पर भरोसा करते हैं, वे अजेय नहीं हैं, और उपयोगकर्ताओं के रूप में हमें अपने गार्ड को ठीक उसी तरह बनाए रखने की आवश्यकता है जैसे हम डेस्कटॉप ऑपरेटिंग सिस्टम पर करते हैं," उन्होंने थ्रेटपोस्ट को एक ईमेल में कहा।
साथ ही, आईफोन और अन्य मोबाइल उपकरणों के लिए ऐप्स के डेवलपर्स को भी अपनी तकनीक में सुरक्षा नियंत्रण की एक अतिरिक्त परत जोड़नी चाहिए ताकि वे सुरक्षा के लिए ओएस सुरक्षा पर कम निर्भर हों, जो कि अक्सर फसल की खामियों को देखते हुए, व्हेल ने देखा।
"हमारे अनुभव से पता चलता है कि यह पर्याप्त नहीं हो रहा है, संभावित रूप से बैंकिंग और अन्य ग्राहकों को कमजोर कर रहा है," उन्होंने कहा।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://threatpost.com/iphone-users-urged-to-update-to-patch-2-zero-days-under-attack/180448/
- :हैस
- :है
- :नहीं
- $यूपी
- 12
- 15% तक
- a
- About
- पहुँच
- अनुसार
- सक्रिय
- सक्रिय रूप से
- कार्यकर्ता
- अभिनेताओं
- जोड़ना
- पता
- संबोधित
- सब
- अनुमति देना
- की अनुमति देता है
- साथ - साथ
- भी
- an
- और
- एंड्रयू
- गुमनाम
- कोई
- अनुप्रयोग
- Apple
- आवेदन
- क्षुधा
- हैं
- AS
- At
- आक्रमण
- उपलब्ध
- जागरूक
- बैंकिंग
- मूल रूप से
- लड़ाई
- BE
- किया गया
- जा रहा है
- BEST
- परे
- के छात्रों
- सीमा
- ब्राउज़र
- ब्राउज़रों
- दोष
- लेकिन
- by
- कर सकते हैं
- मुख्य कार्यपालक अधिकारी
- सीजीआई
- जाँच
- Chrome
- क्रोम ब्राउज़र
- कोड
- कंपनियों
- कंपनी
- सामग्री
- नियंत्रण
- तैयार
- बनाना
- फ़सल
- ग्राहक
- CVE-2022-32893
- दैनिक
- दिन
- दर्शाता
- डेस्कटॉप
- के बावजूद
- डेवलपर्स
- युक्ति
- डिवाइस
- निदेशक
- प्रकटीकरण
- खोज
- do
- प्रभावी रूप से
- प्रयासों
- भी
- बुलंद
- ईमेल
- समाप्त
- इंजन
- पर्याप्त
- विशेष रूप से
- आदि
- निष्पादित
- निष्पादन
- मौजूदा
- अनुभव
- विशेषज्ञ
- शोषण करना
- शोषित
- व्यक्त
- अतिरिक्त
- दूर
- फैशन
- पांचवां
- दोष
- खामियां
- के लिए
- अक्सर
- से
- पूर्ण
- देना
- दी
- गूगल
- समूह
- गार्ड
- हो रहा है
- है
- he
- छिपा हुआ
- तथापि
- http
- HTTPS
- पहचान
- तुरंत
- प्रभाव
- उन्नत
- in
- शामिल
- स्थापित
- iOS
- iPad
- iPhone
- इजरायल
- मुद्दा
- मुद्दों
- IT
- आईटी इस
- पत्रकार
- केवल
- जानने वाला
- ताज़ा
- परत
- नेतृत्व
- छोड़ने
- कम
- पसंद
- थोड़ा
- लाइव्स
- MacOS
- बनाया गया
- बनाए रखना
- हो सकता है
- मोबाइल
- मोबाइल उपकरणों
- आदर्श
- अधिक
- अधिकांश
- राष्ट्र
- आवश्यकता
- समाचार
- नार्वेजियन
- विख्यात
- अभी
- एनएसओ समूह
- मनाया
- of
- on
- ONE
- केवल
- भार
- परिचालन
- ऑपरेटिंग सिस्टम
- or
- OS
- अन्य
- हमारी
- के ऊपर
- सिंहावलोकन
- पैच
- पैच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- पोस्ट
- संभावित
- शक्तियां
- वर्तमान
- विशेषाधिकारों
- प्रसंस्करण
- रक्षा करना
- सुरक्षा
- के बारे में
- रिहा
- रिलायंस
- भरोसा करना
- बाकी है
- रिपोर्ट
- की सूचना दी
- शोधकर्ता
- कि
- रन
- दौड़ना
- Safari
- कहा
- वही
- परिदृश्य
- दूसरा
- सुरक्षा
- सुरक्षा अद्यतन
- वरिष्ठ
- चाहिए
- दिखाता है
- समान
- So
- अब तक
- सॉफ्टवेयर
- राज्य
- सिस्टम
- लेना
- लक्षित
- लक्ष्य
- तकनीक
- तकनीकी कंपनियों
- तकनीकी
- टेक्नोलॉजी
- कि
- RSI
- लेकिन हाल ही
- वहाँ।
- इन
- वे
- तीसरे दल
- इसका
- इस सप्ताह
- इस वर्ष
- धमकी
- खतरों के खिलाड़ी
- धमकी
- पहर
- सेवा मेरे
- ऊपर का
- दो
- अंत में
- के अंतर्गत
- अनावरण किया
- अपडेट
- अपडेट
- के आग्रह
- उपयोगकर्ताओं
- सामान्य
- विक्रेताओं
- संस्करण
- कमजोरियों
- भेद्यता
- चपेट में
- था
- we
- वेब
- वेबकिट
- बुधवार
- सप्ताह
- थे
- कौन कौन से
- साथ में
- काम
- चिंता
- चिंता
- लिखना
- वर्ष
- अभी तक
- जेफिरनेट