ENTERTAINMENT

iPhone, iPad, Watch, Mac के लिए नई गंभीर सुरक्षा चेतावनी—हमले चल रहे हैं

चार प्रमुख Apple उत्पाद श्रृंखलाओं के उपयोगकर्ताओं को आपातकालीन सुरक्षा अद्यतन लागू करने की चेतावनी दी गई है … [+] हमले चल रहे हैं

गेटी इमेजेज के माध्यम से सोपा इमेजेज/लाइटरॉकेट

09/23 अद्यतन: यह लेख मूल रूप से 21 सितंबर को प्रकाशित हुआ था

एक्स पर एक नए और विस्तृत थ्रेड में, जिसे पहले ट्विटर के नाम से जाना जाता था, सिटीजन लैब के एक वरिष्ठ शोधकर्ता जॉन स्कॉट-रेलटन ने कहा है iPhones, iPads, Apple Watch और Macs के उपयोगकर्ताओं को स्पष्ट चेतावनी जारी की: अपने Apple उत्पादों को अभी अपडेट करें।

यह चेतावनी आईफोन आईपैड मिनी 5वीं पीढ़ी और बाद का। iPhone 15 सीरीज उपयोगकर्ताओं के लिए iOS 17.0.1, या iOS 17.0.2, iPadOS 17.0.1, watchOS 10.0.1, Safari 16.6.1, macOS Ventura 13.6 और macOS मोंटेरे 12.7 के अपडेट जल्द से जल्द लागू किए जाने चाहिए।

रेलटन ने खुलासा किया कि कैसे सिटीजन लैब ने गूगल के थ्रेट एनालिसिस ग्रुप के साथ मिलकर मिस्र के एक प्रसिद्ध लोकतंत्र समर्थक राजनेता के खिलाफ एक परिष्कृत स्पाइवेयर हमले का खुलासा किया है, जिसने घोषणा की थी कि वह 2024 के चुनावों में देश के राष्ट्रपति पद के लिए दौड़ेंगे।

रेलटन का कहना है कि अहमद एल्टांटावी को एसएमएस और व्हाट्सएप संदेशों के माध्यम से भेजे गए लिंक का उपयोग करके स्पाइवेयर के जरिए निशाना बनाया गया था और “लगातार नेटवर्क इंजेक्शन के माध्यम से लक्ष्यीकरण के लिए चुना गया था।” एक दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित होने के बाद अंततः उसका फ़ोन स्पाइवेयर से संक्रमित हो गया।

सिटीजन लैब जांच, Google के TAG के साथ, iPhone के लिए शून्य-दिवसीय शोषण श्रृंखला को उजागर करने में सक्षम थी। इसमें नीचे दिए गए मूल लेख में उल्लिखित तीन कमजोरियों का उपयोग किया गया: CVE-2023-41991, CVE-2023-41992 और CVE-2023-41993। इन्हें प्रारंभ में 16.6.1 सहित iOS के किसी भी संस्करण का उपयोग करने वाले iPhone को संक्रमित करने के लिए डिज़ाइन किया गया था

टैग विवरण से मैडी स्टोन के रूप में 22 सितंबर के विश्लेषण में, यह एक ‘मूक हमला’ था जिसके लिए किसी उपयोगकर्ता की सहभागिता की आवश्यकता नहीं थी। पुनर्निर्देशन मैन-इन-द-मिडिल इंजेक्शन के माध्यम से किया गया था, और स्टोन ने पुष्टि की कि शोषण के लिए “उपयोगकर्ता को किसी दस्तावेज़ को खोलने, किसी विशिष्ट लिंक पर क्लिक करने या किसी फोन कॉल का उत्तर देने की आवश्यकता नहीं थी।”

रेलटन का कहना है कि लॉकडाउन मोड का उपयोग करने से हमले को सफल होने से रोका जा सकता था, जिसकी पुष्टि एप्पल की सुरक्षा इंजीनियरिंग और आर्किटेक्चर टीम ने की है।

रेल्टन कहते हैं, “हम उन सभी ऐप्पल उपयोगकर्ताओं को दृढ़ता से प्रोत्साहित करते हैं जो लॉकडाउन मोड को सक्षम करने के लिए जोखिम में पड़ सकते हैं।”

एप्पल ने जारी कर दिया है आईओएस 17.0.1 और iPadOS 17.0.1, नवीनतम ऑपरेटिंग सिस्टम को बहुत धूमधाम से लॉन्च किए जाने के कुछ ही दिनों बाद। यह आपातकालीन iPhone अपडेट, और जिसे सभी iPhone और iPad उपयोगकर्ताओं को जल्द से जल्द लागू करना चाहिए, एक महत्वपूर्ण चेतावनी के साथ आता है। सुरक्षा अद्यतन तीन महत्वपूर्ण कमजोरियों को संबोधित करता है, और ऐप्पल ने चेतावनी दी है कि वह उन रिपोर्टों से अवगत है कि इन तीनों का सक्रिय रूप से शोषण किया गया होगा iOS 16.7 से पहले के iPhone ऑपरेटिंग सिस्टम के संस्करणों के विरुद्ध। यदि आप लॉन्च के समय अपना नया iPhone 15, iPhone 15 Plus, iPhone 15 Pro या iPhone 15 Pro Max खरीद रहे हैं, तो आपको तुरंत ऑपरेटिंग सिस्टम को अपडेट करना होगा।

तीन iOS सुरक्षा कमजोरियों के बारे में क्या ज्ञात है?

हमेशा की तरह, Apple ने इनमें से किसी भी iOS कमजोरियों, या उनका उपयोग करने वाले कारनामों के बारे में बहुत कम विवरण जारी किया है। यह कोई आश्चर्य की बात नहीं है, क्योंकि Apple इस तरह के विवरण में तब तक देरी करता है जब तक कि अधिक से अधिक उपयोगकर्ताओं को अपने डिवाइस को अपडेट करने का मौका न मिल जाए ताकि अन्य हमलावरों को कारनामे करने से रोका जा सके।

फोर्ब्स से और अधिकनए iPhone iOS 16 ब्लूटूथ हैक अटैक-इसे कैसे रोकेंद्वारा डेवी विंडर

सीवीई-2023-41992

इस स्तर पर जो ज्ञात है वह यह है कि CVE-2023-41992 की खोज का श्रेय टोरंटो विश्वविद्यालय के मंक स्कूल में द सिटीजन लैब के बिल मार्कज़ैक और Google के थ्रेट एनालिसिस ग्रुप के मैडी स्टोन को दिया जाता है। यह एक कर्नेल भेद्यता है जो किसी हमलावर को विशेषाधिकार बढ़ाने में सक्षम कर सकती है।

सीवीई-2023-41991 और सीवीई-2023-41993

उन्हीं दो सुरक्षा शोधकर्ताओं को CVE-2023-41991 और CVE-2023-41993 दोनों का खुलासा करने का श्रेय भी दिया जाता है। इनमें से पहले में एक प्रमाणपत्र सत्यापन मुद्दा शामिल है, और सफल शोषण एक हमलावर को दुर्भावनापूर्ण ऐप का उपयोग करके ऐसे सत्यापन को बायपास करने में सक्षम कर सकता है। बाद वाली भेद्यता WebKit के भीतर है, और सामग्री को संसाधित करने के कार्य से मनमाना कोड निष्पादन हो सकता है।

CVE-2023-41991 और CVE-2023-41992 भी Apple वॉच उपयोगकर्ताओं को प्रभावित करते हैं, और watchOS 10.0.1 के लिए एक आपातकालीन सुरक्षा अद्यतन भी अब उपलब्ध है।

अभी iOS 17.0.1 या iOS 17.0.2 पर अपडेट करें

यह देखते हुए कि इन तीनों कमजोरियों का पहले ही फायदा उठाया जा चुका है, यह जरूरी है कि उपयोगकर्ता जल्द से जल्द iOS, iPadOS के पैच किए गए संस्करणों को अपडेट करें। iPhone उपयोगकर्ताओं को iOS 17.0.1 या 17.0.2 डाउनलोड करने के लिए सेटिंग्स|सामान्य|सॉफ़्टवेयर अपडेट पर जाना चाहिए।

फोर्ब्स से और अधिकमहत्वपूर्ण नए 1 पासवर्ड, सिग्नल, क्रोम, एज, फायरफॉक्स आपातकालीन सुरक्षा अपडेटद्वारा डेवी विंडर

Back to top button