Apple ने बुधवार को अपने सभी ऑपरेटिंग सिस्टम में आपातकालीन सुरक्षा पैच तैनात किए हैं, ताकि सक्रिय शोषण के तहत पुष्टि की गई दो शून्य-दिन की कमज़ोरियों को ठीक किया जा सके। कंपनी ने स्वीकार किया कि कोर ऑडियो प्रोसेसिंग और एक विशिष्ट प्रोसेसर सुरक्षा सुविधा को प्रभावित करने वाली इन खामियों का इस्तेमाल लक्षित अभियानों में हथियार के रूप में किया गया था।
अपनी सलाह में, Apple ने कहा कि उसे ऐसी रिपोर्टों की जानकारी है कि “इस समस्या का इस्तेमाल iOS पर विशिष्ट लक्षित व्यक्तियों के विरुद्ध एक अत्यंत परिष्कृत हमले में किया गया हो सकता है।” ये महत्वपूर्ण अपडेट न केवल iOS और iPadOS, बल्कि macOS, tvOS और visionOS को भी लक्षित करते हैं, जो अंतर्निहित समस्याओं की व्यापक प्रकृति का संकेत देते हैं।
ऑडियो दोष कोड निष्पादन की अनुमति देता है
एक भेद्यता, जिसकी पहचान CVE-2025-31200, Apple के CoreAudio फ़्रेमवर्क के ज़रिए एक गंभीर ख़तरा पैदा करता है। इस मेमोरी करप्शन दोष का मतलब है कि अगर कोई उपयोगकर्ता किसी सावधानीपूर्वक तैयार की गई, दुर्भावनापूर्ण ऑडियो फ़ाइल को आसानी से प्रोसेस करता है, तो हमलावर डिवाइस पर मनमाना कोड चला सकते हैं। इस तरह के शोषण से डेटा चोरी या व्यापक सिस्टम समझौता हो सकता है।
संभावित गंभीरता को दर्शाते हुए, CISA-ADP ने इस दोष को CVSS 3.1 स्कोर 7.5 (उच्च) दिया, जिसमें गोपनीयता, अखंडता और उपलब्धता पर उच्च संभावित प्रभावों का हवाला दिया गया, हालाँकि इसके वेक्टर के लिए उपयोगकर्ता की सहभागिता की आवश्यकता होती है और इसकी जटिलता भी ज़्यादा होती है। Apple ने कहा कि इस भेद्यता को “बेहतर सीमा जाँच” के माध्यम से संबोधित किया गया था और इसकी खोज का श्रेय आंतरिक टीमों और Google के खतरा विश्लेषण समूह (TAG) दोनों को दिया गया।
प्रोसेसर सुरक्षा सुविधा को दरकिनार किया गया
दूसरा मुद्दा, CVE-2025-31201, नए Apple सिलिकॉन चिप्स में पाए जाने वाले रीकॉन्फ़िगरेबल प्रोसेसिंग आर्किटेक्चर कोर (RPAC) को लक्षित करता है। इस भेद्यता ने उन हमलावरों को पॉइंटर ऑथेंटिकेशन (PAC) को दरकिनार करने की अनुमति दी, जिन्होंने पहले ही डिवाइस पर पढ़ने/लिखने की पहुँच प्राप्त कर ली थी।
PAC, ARM आर्किटेक्चर में एक हार्डवेयर-स्तरीय सुरक्षा सुविधा है, जिसे पॉइंटर्स पर क्रिप्टोग्राफ़िक रूप से हस्ताक्षर करने के लिए डिज़ाइन किया गया है, जिससे हमलावरों के लिए रिटर्न-ओरिएंटेड प्रोग्रामिंग (ROP) जैसी तकनीकों के माध्यम से प्रोग्राम नियंत्रण प्रवाह को हाईजैक करना कठिन हो जाता है। PAC को सफलतापूर्वक बायपास करने से विशेषाधिकार वृद्धि जैसे गहन सिस्टम हमले संभव हो सकते हैं। Apple, जिसने आंतरिक रूप से इस खामी का पता लगाया था, ने कहा कि “कमजोर कोड को हटाकर” इसे ठीक कर दिया गया है।
iPhones, iPads, Macs, Apple TV और Vision Pro पर अपडेट
हालाँकि iOS उपकरणों पर सक्रिय हमलों की सूचना मिली थी, पैच व्यापक प्रभाव की पुष्टि करते हैं। ये सुधार iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, और visionOS 2.4.1 में शामिल हैं।
अपडेट प्राप्त करने वाले हार्डवेयर में iPhone XS और नए मॉडल शामिल हैं; विभिन्न iPad Pros (11-इंच पहली पीढ़ी+, 12.9-इंच तीसरी पीढ़ी+, 13-इंच), iPad Airs (तीसरी पीढ़ी+), मानक iPads (7वीं पीढ़ी+), और iPad मिनी (5वीं पीढ़ी+); साथ ही Apple TV HD, सभी Apple TV 4K मॉडल, और Apple Vision Pro. सक्रिय शोषण की पुष्टि को देखते हुए, उपयोगकर्ताओं को सलाह दी जाती है कि वे इन अपडेट को तुरंत लागू करें।
Apple के बढ़ते खतरों के बीच ज़ीरो-डेज़ की संख्या बढ़ रही है
ये दो खामियाँ चौथी और पाँचवीं ज़ीरो-डे कमज़ोरियों को चिह्नित करती हैं जिन्हें Apple ने 2025 में सार्वजनिक रूप से पैच किया है, जिससे कंपनी वर्ष के पहले कुछ महीनों में ही 2024 की अपनी कुल छह कमज़ोरियों (जिनमें ऑपरेशन ट्राइंगुलेशन जासूसी अभियान में इस्तेमाल की गई खामियाँ शामिल हैं) को पार करने की गति पर है।
पहले पैच किए गए 2025 ज़ीरो-डेज़ थे CVE-2025-24085 (जनवरी), CVE-2025-24200 (फ़रवरी), और CVE-2025-24201 (मार्च)। यह वृद्धि सुरक्षा शोधकर्ताओं और रिपोर्टों के कारण हुई है, जैसे कि मार्च में Mac उपयोगकर्ताओं को लक्षित करने वाले फ़िशिंग अभियानोंसे संबंधित एक रिपोर्ट, जो Apple के पारिस्थितिकी तंत्र में हमलावरों की बढ़ती रुचि का संकेत देती है, जिससे Windows की तुलना में कम लगातार लक्ष्य के रूप में इसकी पिछली प्रतिष्ठा को चुनौती मिलती है। हालाँकि मौजूदा हमलों को अत्यधिक लक्षित बताया गया है, लेकिन पैच की उपलब्धता के कारण प्रभावित डिवाइस वाले सभी उपयोगकर्ताओं को कार्रवाई करनी ज़रूरी है।
स्रोत: Winbuzzer / Digpu NewsTex