ऐप्पल ने हालिया आईफोन और आईपैड मॉडल को प्रभावित करने वाली सुरक्षा कमजोरियों के एक व्यापक सेट का खुलासा किया है, चेतावनी दी है कि कुछ खामियां संवेदनशील डेटा तक पहुंच, डिवाइस क्रैश, या दुर्लभ मामलों में, पूर्ण सिस्टम समझौता की अनुमति दे सकती हैं।
विवरण प्रकाशित किए गए थे Apple का सहायता पृष्ठ शुक्रवार को अपने नवीनतम सुरक्षा अद्यतन के भाग के रूप में।
उपकरण प्रभावित
Apple के अनुसार, समस्याएँ iPhone 11 और नए मॉडलों के साथ-साथ कई iPad लाइनों को भी प्रभावित करती हैं। इनमें तीसरी पीढ़ी से आईपैड प्रो मॉडल, तीसरी पीढ़ी से आईपैड एयर, 8वीं पीढ़ी से आईपैड और 5वीं पीढ़ी से आईपैड मिनी शामिल हैं।
ऐप स्टोर और गोपनीयता जोखिम
कमजोरियों में से एक इससे संबंधित है ऐप स्टोर, जहां एक अनुमति दोष किसी ऐप को संवेदनशील भुगतान टोकन तक पहुंचने की अनुमति दे सकता था। Apple ने कहा कि अब प्रतिबंधों को कड़ा करके समस्या का समाधान कर लिया गया है।
समान अनुमति और लॉगिंग समस्याओं को आइकन, संदेश, मीडिया अनुभव, स्क्रीन टाइम, टेलीफोनी और फ़ोटो जैसे सिस्टम घटकों में संबोधित किया गया था। कुछ मामलों में, ऐप्स निजी उपयोगकर्ता डेटा, सफ़ारी इतिहास, या अन्य इंस्टॉल किए गए ऐप्स के बारे में जानकारी तक पहुंच सकते थे।
कर्नेल और सिस्टम-स्तर की खामियाँ
Apple ने भी ठीक किया गंभीर मुद्दा कर्नेल में जो किसी दुर्भावनापूर्ण ऐप को रूट विशेषाधिकार प्राप्त करने की अनुमति दे सकता था। कंपनी ने कहा कि यह एक पूर्णांक अतिप्रवाह समस्या के कारण हुआ था, जिसे अब 64-बिट टाइमस्टैम्प पर ले जाकर हल कर दिया गया है।
फ़ाउंडेशन, मल्टी-टच, लिबार्चिव और ऐप्पलजेपीईजी सहित अन्य निम्न-स्तरीय घटकों में मेमोरी भ्रष्टाचार बग शामिल थे जो दुर्भावनापूर्ण डेटा या फ़ाइलों को संसाधित करते समय ऐप क्रैश या अप्रत्याशित व्यवहार को ट्रिगर कर सकते थे।
फेसटाइम और कॉलिंग संबंधी चिंताएँ
अनेक सुधार संबंधित हैं फेसटाइम और कॉलिंग फ्रेमवर्क। इनमें वे मुद्दे शामिल हैं जहां दूरस्थ डिवाइस नियंत्रण सत्र के दौरान पासवर्ड फ़ील्ड उजागर हो सकते हैं, और एक अन्य दोष जो हमलावर को फेसटाइम कॉलर आईडी को धोखा देने की अनुमति दे सकता है। एप्पल ने कहा कि बेहतर राज्य प्रबंधन ने दोनों समस्याओं का समाधान कर दिया है।
WebKit कमजोरियाँ और लक्षित हमले
बड़ी संख्या में प्रकट किए गए मुद्दे सफारी द्वारा उपयोग किए जाने वाले ब्राउज़र इंजन वेबकिट को प्रभावित करते हैं। सेब चेतावनी दी गई है कि दुर्भावनापूर्ण ढंग से तैयार की गई वेब सामग्री क्रैश, मेमोरी भ्रष्टाचार या सबसे गंभीर मामलों में, मनमाने ढंग से कोड निष्पादन का कारण बन सकती है।
कंपनी ने उन रिपोर्टों को स्वीकार किया है कि iOS 26 से पहले, iOS के पुराने संस्करणों पर विशिष्ट व्यक्तियों के खिलाफ “अत्यंत परिष्कृत” लक्षित हमलों में कम से कम दो WebKit कमजोरियों का फायदा उठाया गया होगा। इन मुद्दों को अब ठीक कर दिया गया है।
खुला स्रोत घटक
कुछ कमजोरियाँ Apple द्वारा उपयोग किए जाने वाले ओपन सोर्स सॉफ़्टवेयर में उत्पन्न हुईं, जिनमें कर्ल और लिबार्चीव शामिल हैं। ऐप्पल ने नोट किया कि इन मुद्दों को तीसरे पक्ष द्वारा सीवीई पहचानकर्ता सौंपे गए थे और इसका सॉफ्टवेयर प्रभावित परियोजनाओं में से एक था।
सुरक्षा अद्यतन की सलाह दी गई
ऐप्पल ने यह संकेत नहीं दिया है कि अधिकांश कमजोरियों का बड़े पैमाने पर फायदा उठाया गया था, लेकिन यह उपयोगकर्ताओं से आग्रह कर रहा है कि वे प्रकट खामियों के खिलाफ सुरक्षा सुनिश्चित करने के लिए अपने उपकरणों को नवीनतम सॉफ़्टवेयर संस्करणों में अपडेट करें।
