Apple macOS और iOS के लिए दो ज़ीरो-डे पैच लागू करता है
Apple ने पैच की एक श्रृंखला जारी की दो शून्य-दिन की कमजोरियों को संबोधित करें MacOS मोंटेरे डेस्कटॉप ऑपरेटिंग सिस्टम (OS), iOS और iPadOS OS और Safari वेब ब्राउज़र को प्रभावित करता है।
दो कमजोरियों को CVE-2022-32893 और CVE-2022-32894 के रूप में ट्रैक किया जाता है। दोनों क्रमशः सफारी वेबकिट वेब ब्राउज़र एक्सटेंशन और ओएस कर्नेल को प्रभावित करने वाले आउट-ऑफ-बाउंड राइट मुद्दे हैं। Apple उन रिपोर्टों से अवगत है कि दोनों कमजोरियों का पहले से ही जंगली में शोषण किया जा सकता है, जिससे पैच को और अधिक जरूरी बनाने की आवश्यकता होती है।
CVE-2022-32893 का सफल शोषण एक हमलावर को मनमानी कोड निष्पादित करने की अनुमति देता है यदि कोई लक्षित उपयोगकर्ता दुर्भावनापूर्ण रूप से तैयार की गई वेबसाइट पर जाता है। सीधे शब्दों में कहें, यह आपको अपने डिवाइस पर पूरा नियंत्रण देता है।
CVE-2022-32894 खतरे वाले अभिनेताओं को कर्नेल विशेषाधिकारों के साथ मनमाने कोड को निष्पादित करने के लिए दुर्भावनापूर्ण अनुप्रयोगों का उपयोग करने की अनुमति देता है। अंतिम परिणाम लक्ष्य डिवाइस पर नियंत्रण है। कर्नेल भेद्यता सबसे खतरनाक सुरक्षा मुद्दों में से एक है जिसका एक उपकरण सामना कर सकता है, इसलिए इन पैच को उन संगठनों द्वारा परिनियोजन के लिए प्राथमिकता दी जानी चाहिए जो Apple संपत्ति संचालित करते हैं।
उपभोक्ता उपयोगकर्ताओं को भी संक्रमण का खतरा होता है, लेकिन ध्यान रखें कि Apple उपकरणों को ऐसे अपडेट स्वचालित रूप से मिल सकते हैं, इसलिए उन्हें पहले से ही पैच किया जा सकता है। उपयोगकर्ता ऐप्पल मेनू से अपडेट स्थिति की जांच कर सकते हैं और पैच डाउनलोड कर सकते हैं – इस मैक के बारे में – मैक पर सॉफ़्टवेयर अपडेट या सेटिंग्स – सामान्य – आईफोन या आईपैड पर सॉफ़्टवेयर अपडेट।
संबंधित पैच मैकओएस मोंटेरे को संस्करण 12.5.1, आईओएस और आईपैडओएस को संस्करण 15.6.1 में और सफारी को मैकओएस बिग सुर और मैकओएस कैटालिना पर संस्करण 15.6.1 में अपडेट करते हैं।
Microsoft के विपरीत, Apple कमजोरियों को प्रकट करने या सुधारों को जारी करने के लिए किसी विशेष शेड्यूल का पालन नहीं करता है, तुलना ब्रायन हिगिंस ने कहा कि ऐप्पल ने दो शून्य दिनों के खिलाफ सलाह जारी करने के लिए कदम उठाए, जिससे उन्हें इतना प्रभावशाली बना दिया।
“प्लेटफ़ॉर्म प्रदाता कभी-कभी बहुत खतरनाक सुविधाएँ जारी करते हैं जिन्हें अनुप्रयोगों और उपकरणों की सुरक्षा के लिए तुरंत ठीक करने की आवश्यकता होती है, और यह मामला है,” उन्होंने कहा।
“Apple आमतौर पर अपने प्लेटफ़ॉर्म को सुरक्षित रखने के लिए सॉफ़्टवेयर अपडेट पर निर्भर करता है, और वे चाहते हैं कि रिलीज़ के बीच बग्स पर किसी का ध्यान न जाए। इसका मतलब है कि हर किसी को इस खतरे को गंभीरता से लेना चाहिए और जितनी जल्दी हो सके अपडेट करना चाहिए।”
हिगिंस जोड़ा: अगर आपको लगता है कि Apple सार्वजनिक होने के लिए काफी गंभीर है, और आपने अभी तक iOS 15.6.1 स्थापित नहीं किया है, तो आपको अभी जाकर इसे करना चाहिए। “
Apple ने इस साल अन्य मुद्दों के साथ कई शून्य-दिनों को पैच किया कर्नेल सुरक्षा संबंधित – CVE-2022-22674, अप्रैल में तय किया गया, macOS मोंटेरे में एक पैच इंटेल ग्राफिक्स ड्राइवर भेद्यता थी। यह एक आउट-ऑफ-बाउंड रीड इश्यू था जो कर्नेल मेमोरी लीक का कारण बन सकता है।
और जनवरी में वापस जा रहे हैं, क्यूपर्टिनो ने सीवीई-2022-22586 तय कियाआईओएस और कैटालिना के आईओबफर घटक और मैकोज़ के पुराने संस्करणों में रिमोट कोड निष्पादन (आरसीई) भेद्यता।
