CVE-2024-23204 ਐਪਲ ਦੇ ਸ਼ਾਰਟਕੱਟ ਕਮਜ਼ੋਰੀ
ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਐਪਲ ਦੇ ਸ਼ਾਰਟਕੱਟ ਐਪਲੀਕੇਸ਼ਨ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਖਾਮੀਆਂ ਦੇ ਸਬੰਧ ਵਿੱਚ ਵੇਰਵਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ, ਜੋ ਇੱਕ ਉੱਚ-ਗੰਭੀਰਤਾ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਇਹ ਨੁਕਸ ਉਪਭੋਗਤਾ ਦੀ ਸਹਿਮਤੀ ਪ੍ਰਾਪਤ ਕੀਤੇ ਬਿਨਾਂ ਡਿਵਾਈਸ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ ਇੱਕ ਸ਼ਾਰਟਕੱਟ ਨੂੰ ਸਮਰੱਥ ਬਣਾ ਸਕਦਾ ਹੈ। ਕਮਜ਼ੋਰੀ, ਜਿਸ ਦੀ ਪਛਾਣ CVE-2024-23204 ਵਜੋਂ ਕੀਤੀ ਗਈ ਸੀ, ਦਾ 10 ਵਿੱਚੋਂ 7.5 CVSS ਸਕੋਰ ਹੈ। ਐਪਲ ਨੇ 22 ਜਨਵਰੀ, 2024 ਨੂੰ iOS 17.3, iPadOS 17.3, macOS ਸੋਨੋਮਾ 14.3 ਦੀ ਰਿਲੀਜ਼ ਰਾਹੀਂ ਇਸ ਖਾਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹੱਲ ਕੀਤਾ। ਅਤੇ watchOS 10.3.
CVE-2024-23204 ਦੇ ਤਹਿਤ, ਇੱਕ ਸ਼ਾਰਟਕੱਟ ਉਪਭੋਗਤਾ ਅਧਿਕਾਰ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਖਾਸ ਕਾਰਵਾਈਆਂ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦਾ ਹੈ। ਐਪਲ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਜ਼ਿਕਰ ਕੀਤੇ ਸਾਫਟਵੇਅਰ ਅਪਡੇਟਾਂ ਵਿੱਚ 'ਵਾਧੂ ਅਨੁਮਤੀਆਂ ਜਾਂਚਾਂ' ਨੂੰ ਲਾਗੂ ਕਰਕੇ ਇਸ ਮੁੱਦੇ ਨੂੰ ਹੱਲ ਕੀਤਾ ਗਿਆ ਸੀ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਐਪਲ ਸ਼ਾਰਟਕੱਟ ਐਪਲੀਕੇਸ਼ਨ ਬਾਰੇ ਵੇਰਵੇ
ਐਪਲ ਸ਼ਾਰਟਕੱਟ ਵਿਭਿੰਨ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦੇ ਹਨ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ macOS ਅਤੇ iOS ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਅਸਾਨੀ ਨਾਲ ਕਾਰਜਾਂ ਨੂੰ ਸੁਚਾਰੂ ਬਣਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ। ਇਹ ਟੂਲ ਬਹੁਤ ਸਾਰੀਆਂ ਕਿਰਿਆਵਾਂ ਦੇ ਸਵੈਚਾਲਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਤੇਜ਼ ਐਪ ਕਾਰਜਾਂ ਨੂੰ ਫੈਲਾਉਂਦਾ ਹੈ, ਡਿਵਾਈਸ ਨਿਯੰਤਰਣ, ਮੀਡੀਆ ਪ੍ਰਬੰਧਨ, ਮੈਸੇਜਿੰਗ, ਅਤੇ ਸਥਾਨ-ਅਧਾਰਿਤ ਗਤੀਵਿਧੀਆਂ। ਉਪਭੋਗਤਾ ਫਾਈਲ ਪ੍ਰਬੰਧਨ, ਸਿਹਤ ਅਤੇ ਫਿਟਨੈਸ ਟਰੈਕਿੰਗ, ਵੈੱਬ ਆਟੋਮੇਸ਼ਨ, ਵਿਦਿਅਕ ਉਦੇਸ਼ਾਂ ਅਤੇ ਸਮਾਰਟ ਹੋਮ ਡਿਵਾਈਸਾਂ ਦੇ ਨਾਲ ਸਹਿਜ ਏਕੀਕਰਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਵਰਕਫਲੋ ਨੂੰ ਕਰਾਫਟ ਕਰ ਸਕਦੇ ਹਨ।
ਸ਼ਾਰਟਕੱਟ ਬੱਗ ਦੀ ਰਿਪੋਰਟ ਕਰਨ ਵਾਲੇ infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਹੈ ਕਿ ਇਸਨੂੰ ਇੱਕ ਖਤਰਨਾਕ ਸ਼ਾਰਟਕੱਟ ਬਣਾਉਣ ਲਈ ਹਥਿਆਰ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਇਹ ਪਾਰਦਰਸ਼ਤਾ, ਸਹਿਮਤੀ, ਅਤੇ ਨਿਯੰਤਰਣ (TCC) ਨੀਤੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦਾ ਹੈ। TCC ਇੱਕ ਐਪਲ ਸੁਰੱਖਿਆ ਫਰੇਮਵਰਕ ਹੈ ਜੋ ਪਹਿਲੀ ਥਾਂ 'ਤੇ ਉਚਿਤ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕੀਤੇ ਬਿਨਾਂ ਉਪਭੋਗਤਾ ਡੇਟਾ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਤੋਂ ਬਚਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।
CVE-2024-23204 ਡੇਟਾ ਦੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ
CVE-2024-23204 ਵਜੋਂ ਪਛਾਣੀ ਗਈ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀ 'URL ਦਾ ਵਿਸਤਾਰ ਕਰੋ' ਨਾਮਕ ਇੱਕ ਖਾਸ ਸ਼ਾਰਟਕੱਟ ਕਾਰਵਾਈ ਤੋਂ ਉਤਪੰਨ ਹੁੰਦੀ ਹੈ। ਇਹ ਕਾਰਵਾਈ t.co ਜਾਂ bit.ly ਵਰਗੀਆਂ ਸੇਵਾਵਾਂ ਦੁਆਰਾ ਛੋਟੇ ਕੀਤੇ URL ਨੂੰ ਵਿਸਤਾਰ ਕਰਨ ਅਤੇ ਸਾਫ਼ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ, UTM ਟਰੈਕਿੰਗ ਮਾਪਦੰਡਾਂ ਨੂੰ ਖਤਮ ਕਰਦੇ ਹੋਏ। ਇਸ ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਨਾਲ ਬੇਸ 64-ਏਨਕੋਡਡ ਡੇਟਾ ਨੂੰ ਇੱਕ ਫੋਟੋ ਤੋਂ ਇੱਕ ਖਤਰਨਾਕ ਵੈਬਸਾਈਟ ਤੇ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ.
ਇਸ ਤਕਨੀਕ ਵਿੱਚ ਸ਼ਾਰਟਕੱਟਾਂ ਦੇ ਅੰਦਰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ (ਜਿਵੇਂ ਕਿ ਫੋਟੋਆਂ, ਸੰਪਰਕ, ਫਾਈਲਾਂ ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਡੇਟਾ) ਦੀ ਚੋਣ ਕਰਨਾ, ਇਸਨੂੰ ਆਯਾਤ ਕਰਨਾ, ਬੇਸ64 ਏਨਕੋਡ ਵਿਕਲਪ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਸਨੂੰ ਬਦਲਣਾ, ਅਤੇ ਫਿਰ ਇਸਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰ ਨੂੰ ਅੱਗੇ ਭੇਜਣਾ ਸ਼ਾਮਲ ਹੈ। ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਇੱਕ ਫਲਾਸਕ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਹਮਲਾਵਰ ਦੇ ਸਿਰੇ 'ਤੇ ਇੱਕ ਚਿੱਤਰ ਦੇ ਰੂਪ ਵਿੱਚ ਕੈਪਚਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਸੰਭਾਵੀ ਫਾਲੋ-ਆਨ ਸ਼ੋਸ਼ਣ ਲਈ ਪੜਾਅ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ।
ਕਿਉਂਕਿ ਸ਼ਾਰਟਕੱਟਾਂ ਨੂੰ ਉਪਭੋਗਤਾਵਾਂ ਵਿੱਚ ਨਿਰਯਾਤ ਅਤੇ ਸਾਂਝਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਸ਼ਾਰਟਕੱਟ ਕਮਿਊਨਿਟੀ ਵਿੱਚ ਇੱਕ ਆਮ ਅਭਿਆਸ ਹੈ, ਇਹ ਸਾਂਝਾਕਰਨ ਵਿਧੀ ਕਮਜ਼ੋਰੀ ਦੀ ਸੰਭਾਵੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ। ਉਪਭੋਗਤਾ ਅਣਜਾਣੇ ਵਿੱਚ ਸ਼ਾਰਟਕੱਟ ਆਯਾਤ ਕਰ ਸਕਦੇ ਹਨ ਜੋ CVE-2024-23204 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਸ਼ੋਸ਼ਣ ਦੇ ਜੋਖਮ ਨੂੰ ਵਧਾਉਂਦੇ ਹਨ।
ਸੀਵੀਈ-2024-23204 ਵਰਗੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘਟਾਉਣ ਲਈ ਉਪਾਅ
ਪਛਾਣੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਵਿਰੁੱਧ ਸੁਰੱਖਿਆ ਨੂੰ ਵਧਾਉਣ ਲਈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਉਪਾਅ ਕਰਨ ਦੀ ਜ਼ੋਰਦਾਰ ਸਿਫਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:
ਅੱਪਡੇਟ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ : ਯਕੀਨੀ ਬਣਾਓ ਕਿ macOS, iPadOS, ਅਤੇ watchOS ਡਿਵਾਈਸਾਂ ਨਵੀਨਤਮ ਸੌਫਟਵੇਅਰ ਸੰਸਕਰਣ ਚਲਾ ਰਹੀਆਂ ਹਨ। ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਨੂੰ ਨਿਯਮਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਇਸ ਵਿੱਚ ਅਕਸਰ ਪੈਚ ਅਤੇ ਸੁਰੱਖਿਆ ਸੁਧਾਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜੋ ਸੰਭਾਵੀ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਹੱਲ ਕਰਦੇ ਹਨ।
ਸ਼ਾਰਟਕੱਟਾਂ ਨਾਲ ਸਾਵਧਾਨੀ ਵਰਤੋ : ਸ਼ਾਰਟਕੱਟਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਵੇਲੇ ਸਾਵਧਾਨ ਰਹੋ, ਖਾਸ ਤੌਰ 'ਤੇ ਗੈਰ-ਭਰੋਸੇਯੋਗ ਸਰੋਤਾਂ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਏ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਸ਼ਾਰਟਕੱਟਾਂ ਦੇ ਮੂਲ ਅਤੇ ਸਮੱਗਰੀ ਦੀ ਜਾਂਚ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ ਤਾਂ ਜੋ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀਆਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨ ਦੇ ਜੋਖਮ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ।
ਅਪਡੇਟਸ ਲਈ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਜਾਂਚ ਕਰੋ : ਐਪਲ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੇ ਗਏ ਸੁਰੱਖਿਆ ਅਪਡੇਟਾਂ ਅਤੇ ਪੈਚਾਂ ਦੀ ਨਿਯਮਤ ਤੌਰ 'ਤੇ ਜਾਂਚ ਕਰਕੇ ਚੌਕਸ ਰਹੋ। ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਰੀਲੀਜ਼ਾਂ ਦੇ ਨਾਲ ਡਿਵਾਈਸ ਨੂੰ ਅਪ-ਟੂ-ਡੇਟ ਬਣਾਈ ਰੱਖਣਾ ਸੰਭਾਵੀ ਸ਼ੋਸ਼ਣਾਂ ਅਤੇ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਮਜ਼ਬੂਤ ਬਚਾਅ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਬੁਨਿਆਦੀ ਹੈ।
ਇਹਨਾਂ ਸਿਫਾਰਿਸ਼ ਕੀਤੇ ਅਭਿਆਸਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨ ਨਾਲ, ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਆਪਣੇ ਡਿਵਾਈਸਾਂ ਦੀ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਮਜ਼ਬੂਤ ਕਰਨ ਅਤੇ ਪਛਾਣੀ ਗਈ ਕਮਜ਼ੋਰੀ ਦੇ ਸ਼ਿਕਾਰ ਹੋਣ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘੱਟ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਹੈ।