ایپل صفر دن کے سوراخ کرتا ہے - یہاں تک کہ بالکل نئے iOS 16 میں بھی

ٹائم سٹیمپ: 12 ستمبر 2022 شام 5:25 بجے
ماخذ نوڈ: 1662231

by
پال ڈکلن

ہم iOS 16 کا انتظار کر رہے ہیں، ایپل کے حالیہ ایونٹ کو دیکھتے ہوئے جس میں آئی فون 14 اور دیگر اپ گریڈ شدہ ہارڈویئر پروڈکٹس کو عوام کے لیے لانچ کیا گیا تھا۔

آج صبح، ہم نے ایک کیا ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹصرف اس صورت میں…

…لیکن کچھ نظر نہیں آیا۔

لیکن آج رات 8 بجے سے کچھ دیر پہلے UK وقت [2022-09-12T18:31Z]، اپ ڈیٹ کی اطلاعات کا ایک بیڑا ہمارے ان باکس میں گرا، جس میں ایپل کی نئی اور اپ ڈیٹ کردہ مصنوعات کے دلچسپ مرکب کا اعلان کیا گیا۔

بلیٹن پڑھنے سے پہلے ہی ہم نے کوشش کی۔ ترتیبات > جنرل > سافٹ ویئر اپ ڈیٹ دوبارہ، اور اس بار ہمیں اپ گریڈ کرنے کی پیشکش کی گئی۔ iOS کے 15.7ایک متبادل اپ گریڈ کے ساتھ جو ہمیں سیدھا لے جائے گا۔ iOS کے 16:

ایک ہی وقت میں ایک اپ ڈیٹ اور اپ گریڈ دستیاب ہے!

(ہم iOS 16 میں اپ گریڈ کرنے کے لیے گئے - ڈاؤن لوڈ صرف 3GB سے کم تھا، لیکن ایک بار ڈاؤن لوڈ کرنے کے بعد یہ عمل ہماری توقع سے زیادہ تیز ہو گیا، اور اب تک سب کچھ ٹھیک کام کر رہا ہے۔)

اپ گریڈ نہ کرنے پر بھی اپ ڈیٹ ضرور کریں۔

صرف واضح ہونے کے لیے، اگر آپ نہیں چاہتے ہیں۔ اپ گریڈ ابھی iOS 16 پر، آپ کو ابھی بھی ضرورت ہے۔ اپ ڈیٹ، کیونکہ iOS کے 15.7 اور آئی پیڈ او ایس ایکس این ایم ایکس۔ اپ ڈیٹس میں متعدد حفاظتی پیچ شامل ہیں، بشمول ڈب شدہ بگ کے لیے ایک فکس CVE-2022-32917.

بگ، جس کی دریافت کا سہرا صرف کیا جاتا ہے۔ "ایک گمنام محقق"، مندرجہ ذیل کے طور پر بیان کیا گیا ہے:

[بگ پیچ ان میں:] کرنل دستیاب ہے: آئی فون 6s اور بعد میں، آئی پیڈ پرو (تمام ماڈلز)، آئی پیڈ ایئر 2 اور بعد میں، آئی پیڈ 5ویں جنریشن اور بعد میں، آئی پیڈ منی 4 اور بعد میں، اور آئی پوڈ ٹچ (ساتویں جنریشن) اثر: ایک ایپلیکیشن کرنل مراعات کے ساتھ صوابدیدی کوڈ پر عمل درآمد کرنے کے قابل ہو سکتی ہے۔ ایپل ایک رپورٹ سے آگاہ ہے کہ اس مسئلے کا فعال طور پر استحصال کیا گیا ہے۔ تفصیل: مسئلہ کو بہتر حدوں کی جانچ کے ساتھ حل کیا گیا تھا۔

جیسا کہ ہم نے بتایا کہ ایپل کا آخری کب ہے۔ ہنگامی صفر دن کے پیچ کرنل کوڈ پر عمل درآمد کرنے والے بگ کا مطلب یہ ہے کہ معصوم نظر آنے والی ایپس (شاید وہ ایپس بھی شامل ہیں جنہوں نے اسے ایپ اسٹور میں بنایا کیونکہ جب انہوں نے جانچ پڑتال پر کوئی واضح سرخ جھنڈا نہیں اٹھایا) ایپل کے ایپ بائی ایپ سیکیورٹی لاک ڈاؤن سے آزاد ہو سکتا ہے…

…اور ممکنہ طور پر پورے آلے کو اپنے قبضے میں لے لیں، بشمول سسٹم آپریشنز کرنے کا حق چھیننا جیسے کیمرہ یا کیمرہ استعمال کرنا، مائیکروفون کو چالو کرنا، مقام کا ڈیٹا حاصل کرنا، اسکرین شاٹس لینا، نیٹ ورک ٹریفک کو خفیہ کرنے سے پہلے اس پر اسنوپ کرنا (یا اس کے ڈکرپٹ ہونے کے بعد) )، دوسری ایپس سے تعلق رکھنے والی فائلوں تک رسائی، اور بہت کچھ۔

اگر، واقعی، یہ "مسئلہ" (یا سیکیورٹی ہول جیسا کہ آپ اسے کال کرنے کو ترجیح دے سکتے ہیں) کا جنگل میں فعال طور پر استحصال کیا گیا ہے، یہ اندازہ لگانا مناسب ہے کہ وہاں ایسی ایپس موجود ہیں جنہیں غیر مشتبہ صارفین نے پہلے ہی انسٹال کر رکھا ہے، جس سے ان کے خیال میں ایک قابل اعتماد ذریعہ تھا، حالانکہ ان ایپس میں فعال کرنے کے لیے کوڈ موجود تھا۔ اور اس کمزوری کا غلط استعمال کریں۔

حیرت انگیز طور پر، macOS 11 (Big Sur) کو اپنی اپ ڈیٹ ملتی ہے۔ MacOS کے 11.7، جو ایک دوسرے صفر دن کے سوراخ کو ڈب کرتا ہے۔ CVE-2022-32894، بالکل انہی الفاظ میں بیان کیا گیا ہے جیسا کہ اوپر درج iOS زیرو ڈے بلیٹن کا حوالہ دیا گیا ہے۔

تاہم، CVE-2022-32894 کو صرف بگ سر بگ کے طور پر درج کیا گیا ہے، جس میں آپریٹنگ سسٹم کے حالیہ ورژنز macOS 12 (Monterey)، iOS 15، iPadOS 15 اور iOS 16 بظاہر غیر متاثر ہیں۔

یاد رکھیں کہ ایک حفاظتی سوراخ جو صرف اس وقت طے کیا گیا تھا جب برے لوگوں نے پہلے سے ہی یہ معلوم کر لیا تھا کہ اس کا استحصال کیسے کیا جائے۔ صفر دن کیونکہ ایسے صفر دن تھے جن کے دوران انتہائی گہری صارف یا سیسڈمین بھی اس کے خلاف بھرپور طریقے سے پیچ کر سکتا تھا۔

پوری کہانی

بلیٹن کے اس دور میں اعلان کردہ اپ ڈیٹس میں درج ذیل شامل ہیں۔

ہم نے انہیں نیچے اس ترتیب میں درج کیا ہے جس ترتیب سے وہ ای میل کے ذریعے پہنچے تھے (معمولی عددی ترتیب) تاکہ iOS 16 نیچے ظاہر ہو:

  • APPLE-SA-2022-09-12-5: سفاری 16. یہ اپ ڈیٹ میکوس بگ سور (ورژن 11) اور مونٹیری (ورژن 12) پر لاگو ہوتا ہے۔ macOS 10 (Catalina) کے لیے کوئی Safari اپ ڈیٹ درج نہیں ہے۔ فکس کیے گئے دو کیڑے ریموٹ کوڈ پر عمل درآمد کا باعث بن سکتے ہیں، اس کا مطلب یہ ہے کہ بوبی ٹریپ ویب سائٹ آپ کے کمپیوٹر پر میلویئر لگا سکتی ہے (جو بعد میں کرنل کی سطح پر قبضہ کرنے کے لیے CVE-2022-32917 کا غلط استعمال کر سکتی ہے)، حالانکہ ان میں سے کوئی بھی کیڑے درج نہیں ہیں۔ صفر دن ہونے کے طور پر. (دیکھیں۔ HT213442.)
  • APPLE-SA-2022-09-12-4: میکوس مونٹیری 12.6 اس اپ ڈیٹ کو فوری سمجھا جا سکتا ہے، اس لیے کہ اس میں CVE-2022-32917 کے لیے ایک فکس شامل ہے۔ (دیکھیں۔ HT213444.)
  • APPLE-SA-2022-09-12-3: میکوس بگ سیر 11.7 macOS Monterey کے لیے اوپر درج کیے گئے پیچ کے لیے اسی طرح کی ایک قسط، بشمول CVE-2022-32917 صفر دن۔ یہ بگ سور اپ ڈیٹ CVE-2022-32894 کو بھی پیچ کرتا ہے، اوپر بیان کردہ دوسرا کرنل صفر دن۔ (دیکھیں۔ HT213443.)
  • APPLE-SA-2022-09-12-2: iOS کے 15.7 اور آئی پیڈ او ایس ایکس این ایم ایکس۔ جیسا کہ مضمون کے آغاز میں بتایا گیا ہے، یہ اپ ڈیٹس CVE-2022-32917 کو پیچ کرتے ہیں۔ (دیکھیں۔ HT213445.)
  • APPLE-SA-2022-09-12-1: iOS کے 16 بڑا والا! نئی خصوصیات کے ساتھ ساتھ، اس میں macOS کے لیے الگ سے ڈیلیور کیے گئے سفاری پیچ شامل ہیں (اس فہرست میں سب سے اوپر دیکھیں)، اور CVE-2022-32917 کے لیے ایک فکس۔ دلچسپ بات یہ ہے کہ iOS 16 اپ گریڈ بلیٹن اس کا مشورہ دیتا ہے۔ "[a] اضافی CVE اندراجات جلد ہی شامل کیے جائیں گے"، لیکن CVE-2022-23917 کو صفر دن کے طور پر ظاہر نہیں کرتا ہے۔ چاہے اس کی وجہ یہ ہے کہ iOS 16 کو ابھی تک باضابطہ طور پر خود "ان دی وائلڈ" نہیں سمجھا گیا تھا، یا اس وجہ سے کہ معلوم ایکسپلائٹ ابھی تک بغیر پیچ والے iOS 16 بیٹا پر کام نہیں کرتا، ہم آپ کو نہیں بتا سکتے۔ لیکن ایسا لگتا ہے کہ بگ کو iOS 15 سے iOS 16 کوڈ بیس میں آگے بڑھایا گیا ہے۔ (دیکھیں۔ HT213446.)

کیا کیا جائے؟

ہمیشہ کی طرح، ابتدائی پیچ، اکثر پیچ.

iOS 15 سے ایک مکمل اپ گریڈ iOS کے 16.0جیسا کہ یہ انسٹالیشن کے بعد خود رپورٹ کرتا ہے، iOS 15 میں معلوم کیڑے کو پیچ کر دے گا۔ (ہم نے ابھی تک iPadOS 16 کے لیے کوئی اعلان نہیں دیکھا ہے۔)

اگر آپ ابھی تک اپ گریڈ کے لیے تیار نہیں ہیں، تو اپ گریڈ کرنا یقینی بنائیں iOS کے 15.7، صفر دن کے دانے کے سوراخ کی وجہ سے۔

آئی پیڈز پر، جس کے لیے iOS 16 کا ابھی تک ذکر نہیں کیا گیا ہے، پکڑو آئی پیڈ او ایس ایکس این ایم ایکس۔ ابھی - آئی پیڈ او ایس 16 کے سامنے آنے کے انتظار میں پیچھے نہ ہٹیں، بشرطیکہ آپ اپنے آپ کو غیر ضروری طور پر ایک معروف استحصالی دانا کی خامی کے سامنے چھوڑ رہے ہوں۔

میکس پر، مونٹیری اور بگ سور کو ڈبل اپ ڈیٹ ملتا ہے، ایک سفاری کو پیچ کرنے کے لیے، جو بن جاتا ہے۔ سفاری 16، اور ایک خود آپریٹنگ سسٹم کے لیے، جو آپ کو لے جائے گا۔ MacOS کے 11.7 (بڑا سور) یا MacOS کے 12.6 (مونٹیری)۔

اس بار iOS 12 کے لیے کوئی پیچ نہیں، اور macOS 10 (Catalina) کا کوئی ذکر نہیں – چاہے Catalina اب مزید تعاون یافتہ نہیں ہے، یا ان میں سے کسی کو بھی شامل کرنے کے لیے بہت پرانی ہے، ہم آپ کو نہیں بتا سکتے۔

کسی بھی CVE اپ ڈیٹس کے لیے اس جگہ کو دیکھیں!

ٹائم اسٹیمپ:

سے زیادہ ننگی سیکیورٹی