IOS 15 में Apple पैच सक्रिय रूप से जीरो-डे का शोषण करता है

Apple ने कुछ ही हफ्ते पहले अपने मोबाइल iOS के वर्जन नंबर को बढ़ाकर 15.0 कर दिया था। अब कंपनी ने दूसरा पैच जारी किया है, जो संस्करण संख्या को 15.0.2 पर लाता है और कोड में एक भेद्यता को ठीक करता है जिसका कथित तौर पर पहले से ही जंगली में शोषण किया जा चुका है।

शून्य-दिन को CVE-2021-30883 हैंडल के तहत रिकॉर्ड किया जाता है और IOMobileFrameBuffer नामक कर्नेल एक्सटेंशन को प्रभावित करता है। एक्सटेंशन का उपयोग आमतौर पर मोबाइल उपकरणों पर स्क्रीन फ्रेम बफर के साथ काम करने के लिए किया जाता है। हालांकि, शून्य-दिन ने खराब अभिनेताओं को उन्नत कर्नेल विशेषाधिकारों के साथ कस्टम कोड निष्पादित करने की अनुमति दी, जिससे यह एक महत्वपूर्ण खतरा बन गया।

हमेशा की तरह, सभी ऐप्पल डिवाइस उपयोगकर्ताओं को ज्ञात शोषण का उपयोग करके हमले के किसी भी संभावित जोखिम से बचने के लिए नवीनतम संस्करण में अपडेट करने का आग्रह किया जाता है। ऐप्पल ने इस तथ्य को स्वीकार किया कि भेद्यता को पहले से ही जंगली में सक्रिय रूप से शोषण के रूप में सूचित किया जा चुका है और आधिकारिक अपडेट एडवाइजरी में थोड़ा सा विवरण दिया गया है, यह समझाते हुए कि "एप्लिकेशन कर्नेल विशेषाधिकारों के साथ मनमाना कोड निष्पादित करने में सक्षम हो सकता है"।

सार अमर नामक एक सुरक्षा शोधकर्ता ने उन्नत विशेषाधिकार कोड निष्पादन की अनुमति देते हुए बग की एक विस्तृत तकनीकी परीक्षा प्रकाशित की है। अमर द्वारा नवीनतम ऐप्पल पैच को रिवर्स-इंजीनियर करने और बग को ट्रिगर करने के लिए अवधारणा का प्रमाण स्थापित करने के बाद शोध किया गया था।

Apple का iOS 15.0 रिलीज़ सुरक्षा और गोपनीयता सुधार पर केंद्रित था, जो ऑपरेटिंग सिस्टम में कुछ बड़ी नई सुविधाएँ पेश करता था। उनमें से पहला था जिसे Apple ने मेल प्राइवेसी प्रोटेक्शन नाम दिया था। प्रौद्योगिकी का उद्देश्य उपयोगकर्ताओं के मेल इनबॉक्स में गोपनीयता के स्तर को ऊंचा करना और ईमेल मार्केटिंग प्लेटफॉर्म तक सूचना के प्रसार को सीमित करना है। इससे आपके इनबॉक्स में बेहतर गोपनीयता और कम लक्षित विज्ञापन लैंडिंग हो सकती है।

दूसरी बड़ी विशेषता एक देशी आईओएस मल्टी-फैक्टर ऑथेंटिकेशन ऐप की शुरुआत थी, जो किसी साइट या सेवा को एमएफए की आवश्यकता होने पर थर्ड-पार्टी ऐप डाउनलोड और इंस्टॉल करने की आवश्यकता को समाप्त करता है। एकीकरण का मतलब है कि उपयोगकर्ताओं को कभी भी एमएफए कोड के साथ खिलवाड़ करने की आवश्यकता नहीं होगी क्योंकि एकीकृत ऐप्पल एप्लिकेशन एक बार ठीक से सेट हो जाने के बाद उन्हें स्वचालित रूप से दर्ज करने का ध्यान रखेगा।