नवंबर में Google की प्रोजेक्ट ज़ीरो टीम ने एक 'उच्च गंभीरता' वाला macOS कर्नेल दोष पाया जो था हाल ही में खुलासा (के जरिए नियोविन ) 90 दिन के प्रकटीकरण की समय सीमा समाप्त होने के बाद।
क्या सेब पर ब्लैक फ्राइडे की बिक्री हो रही है
जैसा कि Google द्वारा समझाया गया है, दोष एक हमलावर को परिवर्तनों के आभासी प्रबंधन सबसिस्टम को सूचित किए बिना उपयोगकर्ता के स्वामित्व वाली माउंटेड फाइल सिस्टम छवि को संशोधित करने की अनुमति देता है, जिसका अर्थ है कि एक हैकर उपयोगकर्ता के ज्ञान के बिना फ़ाइल सिस्टम छवि को बदल सकता है।
यह कॉपी-ऑन-राइट व्यवहार न केवल अनाम मेमोरी के साथ, बल्कि फ़ाइल मैपिंग के साथ भी काम करता है। इसका मतलब यह है कि, स्थानांतरित स्मृति क्षेत्र से गंतव्य प्रक्रिया पढ़ना शुरू करने के बाद, स्मृति दबाव के कारण स्थानांतरित स्मृति रखने वाले पृष्ठ पृष्ठ कैश से बेदखल हो सकते हैं। बाद में, जब बेदखल किए गए पृष्ठों की फिर से आवश्यकता होती है, तो उन्हें बैकिंग फाइल सिस्टम से पुनः लोड किया जा सकता है।
इसका अर्थ यह है कि यदि कोई हमलावर वर्चुअल प्रबंधन सबसिस्टम को सूचित किए बिना ऑन-डिस्क फ़ाइल को बदल सकता है, तो यह एक सुरक्षा बग है। MacOS सामान्य उपयोगकर्ताओं को फाइल सिस्टम छवियों को माउंट करने की अनुमति देता है। जब एक माउंटेड फाइल सिस्टम छवि को सीधे उत्परिवर्तित किया जाता है (उदाहरण के लिए फाइल सिस्टम छवि पर pwrite() को कॉल करके), यह जानकारी माउंटेड फाइल सिस्टम में प्रचारित नहीं होती है।
Google के मुताबिक, Apple ने अभी तक इस समस्या को ठीक नहीं किया है। हालाँकि, Apple आगामी सॉफ़्टवेयर अपडेट में एक सुधार लागू करने की योजना बना रहा है।
आईफोन कैसा दिखता है
हम इस मुद्दे के संबंध में Apple के संपर्क में हैं, और इस बिंदु पर कोई समाधान उपलब्ध नहीं है। Apple भविष्य की रिलीज़ में इस समस्या को हल करने का इरादा रखता है, और हम पैच के विकल्पों का आकलन करने के लिए मिलकर काम कर रहे हैं। हमारे पास अधिक विवरण होने पर हम इस समस्या ट्रैकर प्रविष्टि को अपडेट कर देंगे।
Google ने अपनी प्रोजेक्ट ज़ीरो नीतियों के कारण Apple से ठीक किए बिना बग पर विवरण जारी किया। एक सुरक्षा खामी का पता चलने के बाद, प्रोजेक्ट ज़ीरो उस कंपनी को विवरण प्रदान करता है जो सॉफ्टवेयर बनाती है, उन्हें प्रकटीकरण से पहले इसे ठीक करने के लिए 90 दिनों का समय प्रदान करती है।
क्या एयरपॉड्स को दो उपकरणों से जोड़ा जा सकता है
Google तब सार्वजनिक रूप से सुरक्षा खामियों पर विवरण साझा करता है जब बग ठीक हो जाता है या जब 90-दिन की समय सीमा समाप्त हो जाती है। नवंबर में ऐप्पल को बग के बारे में सूचित किया गया था, और 90 दिन की अवधि बिना किसी सुधार के समाप्त हो गई थी।
मैक उपयोगकर्ताओं को, हमेशा की तरह, इस तरह के हमलों से बचने के लिए डाउनलोड की जा रही फ़ाइलों से सावधान रहना चाहिए, सुनिश्चित करें कि केवल विश्वसनीय साइटों से फ़ाइलें डाउनलोड करें। यह ज्ञात नहीं है कि यह एक बग है जिसका शोषण करना आसान है, लेकिन Google ने इसे गंभीर के रूप में चिह्नित किया है क्योंकि इसमें macOS सुरक्षा उपायों को बायपास करने की क्षमता है।
लोकप्रिय पोस्ट