CVE-2024-23204 Apple को सर्टकट भेद्यता

सुरक्षा अनुसन्धानकर्ताहरूले एप्पलको सर्टकट अनुप्रयोगमा महत्त्वपूर्ण सुरक्षा त्रुटिको बारेमा विवरणहरू प्रकट गरेका छन्, जसले उच्च-गम्भीर जोखिम खडा गरेको छ। यो त्रुटिले प्रयोगकर्ताको सहमति प्राप्त नगरी यन्त्रमा संवेदनशील जानकारी पहुँच गर्न सर्टकट सक्षम पार्न सक्छ। CVE-2024-23204 को रूपमा पहिचान गरिएको भेद्यताको CVSS स्कोर 10 मध्ये 7.5 छ। Apple ले यो विशेष जोखिमलाई जनवरी 22, 2024 मा iOS 17.3, iPadOS 17.3, macOS सोनोमा 14.3 को रिलीज मार्फत सम्बोधन गर्‍यो। र watchOS 10.3।

CVE-2024-23204 अन्तर्गत, सर्टकटले प्रयोगकर्ताको प्राधिकरणको आवश्यकता बिना नै विशिष्ट कार्यहरूको लागि संवेदनशील डेटा प्रयोग गर्न सक्छ। एप्पलले उल्लेख गरिएको सफ्टवेयर अपडेटहरूमा 'अतिरिक्त अनुमति जाँचहरू' लागू गरेर समस्या समाधान भएको पुष्टि गरेको छ।

एप्पल सर्टकट अनुप्रयोगको बारेमा विवरणहरू

एप्पल सर्टकटहरूले विभिन्न उद्देश्यहरू प्रदान गर्दछ जसले प्रयोगकर्ताहरूलाई macOS र iOS उपकरणहरूमा सहज रूपमा कार्यहरू स्ट्रिमलाइन गर्न अनुमति दिन्छ। यो उपकरणले धेरै कार्यहरूको स्वचालन, द्रुत एप कार्यहरू, यन्त्र नियन्त्रण, मिडिया व्यवस्थापन, सन्देश, र स्थान-आधारित गतिविधिहरू फैलाउने सुविधा दिन्छ। प्रयोगकर्ताहरूले फाइल व्यवस्थापन, स्वास्थ्य र फिटनेस ट्र्याकिङ, वेब स्वचालन, शैक्षिक उद्देश्यहरू र स्मार्ट गृह उपकरणहरूसँग सिमलेस एकीकरणको लागि अनुकूल कार्यप्रवाहहरू क्राफ्ट गर्न सक्छन्।

सर्टकट बग रिपोर्ट गर्ने इन्फोसेक अनुसन्धानकर्ताहरूले पुष्टि गरेका छन् कि यसले पारदर्शिता, सहमति, र नियन्त्रण (TCC) नीतिहरू बाइपास गर्न सक्ने खराब सर्टकट सिर्जना गर्न हतियार प्रयोग गर्न सकिन्छ। TCC एक एप्पल सुरक्षा ढाँचा हो जुन पहिलो स्थानमा उपयुक्त अनुमतिहरू अनुरोध नगरी अनाधिकृत पहुँचबाट प्रयोगकर्ता डेटालाई सुरक्षित गर्न डिजाइन गरिएको हो।

CVE-2024-23204 ले डाटाको एक्सफिल्टेशन अनुमति दिन्छ

CVE-2024-23204 को रूपमा पहिचान गरिएको सुरक्षा जोखिम 'URL विस्तार गर्नुहोस्' नामक विशिष्ट सर्टकट कार्यबाट उत्पन्न हुन्छ। यो कार्य t.co वा bit.ly जस्ता सेवाहरू मार्फत UTM ट्र्याकिङ प्यारामिटरहरू हटाएर छोटो URL हरू विस्तार गर्न र सफा गर्न डिजाइन गरिएको हो। यो सुविधाको दुरुपयोग गर्नाले Base64-इन्कोडेड डाटालाई तस्बिरबाट खराब वेबसाइटमा प्रसारण गर्न अनुमति दिन्छ।

यो प्रविधिले सर्टकटहरू भित्र संवेदनशील डेटा (जस्तै फोटो, सम्पर्क, फाइलहरू, र क्लिपबोर्ड डेटा) चयन गर्ने, आयात गर्ने, यसलाई base64 इन्कोड विकल्प प्रयोग गरेर रूपान्तरण गर्ने, र त्यसपछि यसलाई सम्झौता गरिएको सर्भरमा फर्वार्ड गर्ने समावेश गर्दछ। पिल्फर्ड गरिएको डाटा पछि फ्लास्क एप्लिकेसन मार्फत आक्रमणकारीको छेउमा छविको रूपमा कब्जा गरी भण्डारण गरिन्छ, सम्भावित फलो-अन शोषणको लागि चरण सेट गर्दछ।

सर्टकटहरू निर्यात गर्न र प्रयोगकर्ताहरू बीच साझेदारी गर्न सकिन्छ, सर्टकट समुदायमा एक सामान्य अभ्यास, यो साझेदारी संयन्त्रले जोखिमको सम्भावित पहुँच विस्तार गर्दछ। प्रयोगकर्ताहरूले अनजानमा CVE-2024-23204 शोषण गर्ने सर्टकटहरू आयात गर्न सक्छन्, जसले शोषणको जोखिम बढाउँछ।

CVE-2024-23204 जस्ता कमजोरीहरूको प्रभावलाई कम गर्ने उपायहरू

पहिचान गरिएका कमजोरीहरू विरुद्ध सुरक्षा बढाउनका लागि, प्रयोगकर्ताहरूलाई निम्न उपायहरू अपनाउन दृढतापूर्वक सिफारिस गरिन्छ:

अपरेटिङ सिस्टमहरू अपडेट गर्नुहोस् : सुनिश्चित गर्नुहोस् कि macOS, iPadOS, र watchOS उपकरणहरू नवीनतम सफ्टवेयर संस्करणहरू चलिरहेका छन्। नियमित रूपमा अपरेटिङ सिस्टम अपडेट गर्नु महत्त्वपूर्ण छ किनकि यसले प्रायः सम्भावित कमजोरीहरूलाई सम्बोधन गर्ने प्याचहरू र सुरक्षा सुधारहरू समावेश गर्दछ।

सर्टकटहरूसँग सावधानी अपनाउनुहोस् : सर्टकटहरू कार्यान्वयन गर्दा सावधान रहनुहोस्, विशेष गरी अविश्वसनीय स्रोतहरूबाट प्राप्त गरिएका। प्रयोगकर्ताहरूले आफ्ना यन्त्रहरू सुरक्षा खतराहरूमा अनजानमा पर्दाफास गर्ने जोखिमलाई कम गर्न तिनीहरूलाई चलाउनु अघि सर्टकटहरूको उत्पत्ति र सामग्रीको जाँच गर्नुपर्छ।

अपडेटहरूका लागि नियमित रूपमा जाँच गर्नुहोस् : Apple द्वारा प्रदान गरिएका सुरक्षा अपडेटहरू र प्याचहरूको लागि नियमित रूपमा जाँच गरेर सतर्क रहनुहोस्। सम्भावित शोषण र कमजोरीहरू विरुद्ध बलियो प्रतिरक्षा कायम राख्नको लागि नवीनतम सुरक्षा विज्ञप्तिहरूसँग यन्त्रलाई अप-टु-डेट राख्नु आधारभूत छ।

यी सिफारिस गरिएका अभ्यासहरूको पालना गरेर, प्रयोगकर्ताहरूले उनीहरूको यन्त्रहरूको सुरक्षा आसनलाई महत्त्वपूर्ण रूपमा बलियो बनाउने र पहिचान गरिएको जोखिमको शिकार हुने सम्भावनालाई कम गर्ने सम्भावना हुन्छ।