10 दिसंबर को, Apple
ने macOS,
iOS (iPadOS सहित) और
वॉचओएस के लिए पैच का
एक बड़ा सेट
जारी किया । शायद बंद कीड़ों का सबसे खतरनाक फेसटाइम भेद्यता था, जो कि iPhone 6s और iPad Air के साथ शुरू होने वाले सभी Apple मोबाइल उपकरणों को प्रभावित करता है। जैसा कि हाल ही
में व्हाट्सएप में खोजी गई
भेद्यता के साथ, समस्या आने वाली वीडियो फ़ाइलों के प्रसंस्करण प्रणाली में पाई गई थी: एक दुर्भावनापूर्ण वीडियो नेतृत्व कर सकता है मनमाने कोड का निष्पादन। भेद्यता CVE-2019-8830 को Google प्रोजेक्ट ज़ीरो टीम के एक शोधकर्ता नताली सिलवानोविच ने खोजा था: पिछले साल उसने फेसटाइम सहित त्वरित दूतों की सुरक्षा के बारे में विस्तार से लिखा था (आप
एक साल पहले एक
लेख से शुरू कर सकते हैं, जिसमें आवेदन में पहले से खोजी गई कमजोरियों के उदाहरण हैं)।
शोधकर्ता किशन बागोरिया
द्वारा एक और भेद्यता की
खोज की गई थी : उन्होंने पाया कि पास के एप्पल उपकरणों को लगातार दस्तावेज भेजने से सेवा से वंचित हो गए। ऐसा करने के लिए, AirDrop तंत्र के माध्यम से किसी से भी फाइल प्राप्त करने की क्षमता (और न केवल आपकी संपर्क सूची में उपयोगकर्ताओं से) आपके iPad या iPhone पर सक्षम होनी चाहिए। बग को जानबूझकर AirDoS कहा जाता था: लब्बोलुआब यह है कि फ़ाइल प्राप्त करने का अनुरोध स्वीकार या अस्वीकार किया जाना चाहिए, और जब तक ऐसा नहीं किया जाता है, तब तक मोबाइल डिवाइस पर अन्य नियंत्रण उपलब्ध नहीं हैं। यदि आप लगातार अनुरोध भेजते हैं, तो टैबलेट या स्मार्टफोन वास्तव में निष्क्रिय है। बग को iOS 13.3 में बंद कर दिया गया था, प्रयासों की संख्या पर एक सीमा लागू करने से: यदि आप एक पंक्ति में तीन बार अनुरोध को अस्वीकार करते हैं, तो उसी डिवाइस से फ़ाइल भेजने के सभी बाद के प्रयास स्वचालित रूप से अवरुद्ध हो जाते हैं।
एक दिलचस्प बग इंटेल प्रोसेसर (
समाचार , निर्माता की
बुलेटिन , भेद्यता
साइट ) में खोज और बंद कर दिया गया था। ऑस्ट्रिया, बेल्जियम और ब्रिटेन के विश्वविद्यालयों के शोधकर्ताओं ने
सॉफ्टवेयर गार्ड एक्सटेंशन्स तंत्र से समझौता करने का एक तरीका खोज लिया है - यह महत्वपूर्ण डेटा के लिए अतिरिक्त सुरक्षा प्रदान करता है, जैसे एन्क्रिप्शन कुंजी, सिस्टम में अन्य प्रक्रियाओं से उन्हें अलग करता है। हैकिंग विधि को गैर-तुच्छ चुना गया था: बिजली की खपत के लिए जिम्मेदार प्रोसेसर रजिस्टरों का संशोधन। एक सामान्य स्थिति में, वे मानक प्रोसेसर सेटिंग्स से परे प्रदर्शन या अतिरिक्त ऊर्जा बचत बढ़ाने के लिए उपयोग किए जाते हैं।
शोधकर्ताओं ने साबित किया कि वोल्टेज में उल्लेखनीय कमी (उदाहरण के लिए, कोर i3-7100U प्रोसेसर के लिए -232 mV और कोर i7-8650U के लिए -195 mV) सही समय पर SGX में खराबी और डेटा भ्रष्टाचार का कारण बनता है: जहां नुकसान होता है एक अवसर डेटा तक पहुंच प्राप्त करने के लिए खुलता है जो अन्यथा दुर्गम है। एक उदाहरण के रूप में, विशेषज्ञों ने आरएसए और एईएस एल्गोरिदम का उपयोग करके एन्क्रिप्शन कुंजी की निकासी का प्रदर्शन किया।
जैसा कि आमतौर पर इस प्रकार के हमलों के साथ होता है, बदलते मापदंडों के लिए सही वोल्टेज और पल का चयन करना आसान नहीं होता है। इसके अलावा, इस तरह का एक वास्तविक हमला, हालांकि इसे दूरस्थ रूप से किया जा सकता है (जो हार्डवेयर कमजोरियों के लिए विशिष्ट नहीं है), लेकिन ऑपरेटिंग सिस्टम के लिए पूर्ण पहुंच की आवश्यकता होती है। अन्यथा, आप प्रोसेसर के मापदंडों को प्राप्त नहीं कर सकते। इस मामले में भेद्यता को बंद करने का मतलब है कि माइक्रोकोड को अपडेट करना, जो अभी भी वास्तविक उपकरणों को प्राप्त करना है (छठी पीढ़ी के सभी इंटेल कोर उपयोगकर्ता प्रोसेसर प्रभावित होते हैं, और कुछ एक्सोन) एक BIOS अपडेट के रूप में।
कैस्परस्की लैब ने 2019 के लिए साइबर खतरों पर एक
पूरी रिपोर्ट (पंजीकरण के बाद उपलब्ध,
इस खबर में एक संक्षिप्त अवलोकन)
प्रकाशित की है । रिपोर्ट में विशेष रुचि कमजोरियों की एक सूची है जो वास्तव में मैलवेयर में उपयोग की जाती हैं। सैद्धांतिक कमजोरियों के विपरीत, ये एक विशेष खतरा हैं और इसके लिए तत्काल सॉफ़्टवेयर अपडेट की आवश्यकता होती है। सबसे लोकप्रिय शोषित बग के लिए, हालांकि, अपडेट एक वर्ष से अधिक समय से उपलब्ध हैं। इस सूची में सबसे ऊपर Microsoft Office सूत्र संपादक,
CVE-2017-11882 और
CVE-2018-0802 दो कमजोरियाँ हैं । पांच सबसे अधिक इस्तेमाल किए जाने वाले कीड़े आमतौर पर माइक्रोसॉफ्ट ऑफिस से संबंधित हैं। ताजा भेद्यता का एक उदाहरण मार्च में खोजा गया CVE-2019-0797 बग है, जो उस समय दुर्भावनापूर्ण हमलों में
पहले से ही शोषित था।
और क्या हुआ:महत्वपूर्ण
कमजोरियों को दो वर्डप्रेस ऐड-ऑन में खोजा गया था: बीवर बिल्डर के लिए अल्टिमेट एडोनर्स और एलिमेंट के लिए अल्टीमेट ऐडऑन्स। ऑपरेशन के लिए, आपको केवल साइट व्यवस्थापक का मेलिंग पता जानना होगा।
विंडोज में एक और शून्य-दिन भेद्यता (7 से 10 तक और 2008 से विंडोज सर्वर में) दिसंबर पैच
द्वारा बंद है । बग को win32k.sys सिस्टम लाइब्रेरी में
पाया गया था, इसमें पहले से उल्लिखित भेद्यता CVE-2019-0797 भी था।
Google Chrome 79 के नए संस्करण में
, दो महत्वपूर्ण सुरक्षाछिद्र
बंद हो गए थे, और एक ही समय में, समझौता किए गए लॉगिन-पासवर्ड जोड़े के उपयोग के बारे में एक नया मानक अलार्म दिखाई दिया। यह विकल्प पहले एक्सटेंशन के रूप में उपलब्ध था।
एडोब रीडर और एडोब एक्रोबैट में
बंद 14 महत्वपूर्ण कमजोरियां। साथ ही एडोब फोटोशॉप में मनमाने कोड के निष्पादन के लिए दो कमजोरियां।
फ़ायरफ़ॉक्स ऐड-ऑन डेवलपर्स
को अब दो-कारक प्राधिकरण
का उपयोग
करने की आवश्यकता है । इस तरह, मोज़िला आपूर्ति श्रृंखला पर हमलों के जोखिम को कम करने की कोशिश कर रहा है: इस मामले में, हम एक परिदृश्य को ध्यान में रखते हैं जहां दुर्भावनापूर्ण कोड को डेवलपर के कंप्यूटर को हैक करने के बाद एक वैध विस्तार में डाला जाता है।