मैकबुक के मालिक, ध्यान दें: आपका लैपटॉप दुर्भावनापूर्ण हमलों से सुरक्षित नहीं हो सकता है।
Google की प्रोजेक्ट ज़ीरो टीम के सुरक्षा शोधकर्ताओं ने आज Apple के macOS डेस्कटॉप ऑपरेटिंग सिस्टम में "उच्च-गंभीरता" भेद्यता का खुलासा किया। MacOS के बचाव में गैपिंग होल एक हमलावर को पीड़ित के बारे में जाने बिना सिस्टम का फायदा उठाने की अनुमति दे सकता है।
शून्य-दिन की भेद्यता कॉपी-ऑन-राइट से उपजी है, Apple के XNU कर्नेल द्वारा अनुमत एक प्रक्रिया जो अनाम मेमोरी और फ़ाइल मैपिंग के साथ काम करती है। Google द्वारा मोनोरेल पर एक पोस्ट के अनुसार, macOS पर कॉपी की जा रही मेमोरी को संशोधनों के खिलाफ ठीक से संरक्षित नहीं किया जाता है, इसलिए संभावित खतरनाक कोड को कॉपी करने के लिए कॉपी-ऑन-राइट प्रक्रिया का फायदा उठाया जा सकता है।
"इसका मतलब है कि अगर कोई हमलावर वर्चुअल मैनेजमेंट सबसिस्टम को सूचित किए बिना ऑन-डिस्क फ़ाइल को म्यूट कर सकता है, तो यह एक सुरक्षा बग है," Google शोधकर्ताओं ने लिखा।
Google ने नवंबर 2022-2023 में Apple को दोष के बारे में सूचित किया, लेकिन क्यूपर्टिनो की दिग्गज कंपनी 90-दिन की समय सीमा समाप्त होने से पहले एक पैच जारी करने में विफल रही। सुरक्षा विशेषज्ञों ने भेद्यता को "उच्च-गंभीरता" के रूप में वर्णित किया।
"हम इस मुद्दे के संबंध में ऐप्पल के संपर्क में रहे हैं, और इस बिंदु पर कोई समाधान उपलब्ध नहीं है," शोधकर्ताओं ने लिखा। "Apple भविष्य की रिलीज़ में इस समस्या को हल करने का इरादा रखता है, और हम एक पैच के विकल्पों का आकलन करने के लिए मिलकर काम कर रहे हैं। अधिक विवरण मिलने के बाद हम इस समस्या ट्रैकर प्रविष्टि को अपडेट करेंगे।"
यह स्पष्ट नहीं है कि इस खामी से कितने, यदि कोई हैं, सिस्टम प्रभावित हुए हैं। अपने लैपटॉप की सुरक्षा के लिए मानक कार्रवाइयों के अलावा, मैकबुक उपयोगकर्ता केवल अपनी उंगलियों को पार कर सकते हैं कि एक अपडेट जल्द ही एक फिक्स के साथ आएगा।
यदि Google का प्रोजेक्ट ज़ीरो परिचित लगता है, तो ऐसा इसलिए है क्योंकि शोधकर्ताओं की इस टीम ने पिछले साल की शुरुआत में मेल्टडाउन सुरक्षा हमले की खोज में महत्वपूर्ण भूमिका निभाई थी।
हम कॉपी-ऑन-राइट भेद्यता के बारे में ऐप्पल तक पहुंच गए हैं और अगर हम वापस सुनेंगे तो इस पोस्ट को अपडेट करेंगे।