ஆப்பிள் புதன்கிழமை தனது இயக்க முறைமைகளில் அவசர பாதுகாப்பு இணைப்புகளைபயன்படுத்தியுள்ளது, செயலில் சுரண்டலுக்கு உள்ளாகியிருப்பது உறுதிப்படுத்தப்பட்ட ஒரு ஜோடி பூஜ்ஜிய-நாள் பாதிப்புகளை சரிசெய்ய போராடுகிறது. முக்கிய ஆடியோ செயலாக்கத்தையும் ஒரு குறிப்பிட்ட செயலி பாதுகாப்பு அம்சத்தையும் பாதிக்கும் குறைபாடுகள், இலக்கு பிரச்சாரங்களில் ஆயுதம் ஏந்தியதாக நிறுவனம் ஒப்புக்கொண்டது.
அதன் ஆலோசனையில், ஆப்பிள் தனது “iOS இல் குறிப்பிட்ட இலக்கு வைக்கப்பட்ட நபர்களுக்கு எதிரான மிகவும் அதிநவீன தாக்குதலில் இந்த சிக்கல் பயன்படுத்தப்பட்டிருக்கலாம்” என்ற அறிக்கைகள் குறித்து அறிந்திருப்பதாகக் குறிப்பிட்டது. முக்கியமான புதுப்பிப்புகள் iOS மற்றும் iPadOS ஐ மட்டுமல்ல, macOS, tvOS மற்றும் visionOS ஐயும் குறிவைக்கின்றன, இது அடிப்படை சிக்கல்களின் பரவலான தன்மையைக் குறிக்கிறது.
ஆடியோ குறைபாடு குறியீடு செயல்படுத்தலை அனுமதிக்கிறது
ஒரு பாதிப்பு, CVE-2025-31200<span என அடையாளம் காணப்பட்டதுCVE-2025-31200, ஆப்பிளின் CoreAudio கட்டமைப்பின் மூலம் கடுமையான ஆபத்தை உருவாக்குகிறது. இந்த நினைவக ஊழல் குறைபாடு என்பது, ஒரு பயனர் கவனமாக வடிவமைக்கப்பட்ட, தீங்கிழைக்கும் ஆடியோ கோப்பை செயலாக்கினால், தாக்குபவர்கள் ஒரு சாதனத்தில் தன்னிச்சையான குறியீட்டை இயக்கக்கூடும் என்பதாகும். இந்த வகையான சுரண்டல் தரவு திருட்டு அல்லது பரந்த கணினி சமரசத்திற்கு வழிவகுக்கும்.
சாத்தியமான தீவிரத்தை பிரதிபலிக்கும் வகையில், CISA-ADP, ரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் தன்மையில் அதிக சாத்தியமான தாக்கங்களை மேற்கோள் காட்டி, குறைபாட்டிற்கு CVSS 3.1 மதிப்பெண் 7.5 (உயர்) வழங்கியது, இருப்பினும் அதன் வெக்டருக்கு பயனர் தொடர்பு தேவைப்படுகிறது மற்றும் அதிக சிக்கலான தன்மையைக் கொண்டுள்ளது. இந்த பாதிப்பு “மேம்படுத்தப்பட்ட எல்லை சரிபார்ப்பு” மூலம் தீர்க்கப்பட்டதாக ஆப்பிள் கூறியது, மேலும் அதன் கண்டுபிடிப்பை உள் குழுக்கள் மற்றும் கூகிளின் அச்சுறுத்தல் பகுப்பாய்வு குழு (TAG) ஆகிய இரண்டிற்கும் வழங்கியது.
செயலி பாதுகாப்பு அம்சம் புறக்கணிக்கப்பட்டது
இரண்டாவது இதழ், CVE-2025-31201, புதிய ஆப்பிள் சிலிக்கான் சில்லுகளில் காணப்படும் மறுகட்டமைக்கக்கூடிய செயலாக்க கட்டமைப்பு மையத்தை (RPAC) குறிவைக்கிறது. இந்தப் பாதிப்பு, ஏற்கனவே ஒரு சாதனத்தில் படிக்க/எழுத அணுகலைப் பெற்ற தாக்குபவர்கள், சுட்டிக்காட்டி அங்கீகாரத்தை (PAC) புறக்கணிக்க அனுமதித்தது.
PAC என்பது ARM கட்டமைப்புகளில் உள்ள ஒரு வன்பொருள்-நிலை பாதுகாப்பு அம்சமாகும் குறியாக்கவியல் ரீதியாக சுட்டிகளை கையொப்பமிட வடிவமைக்கப்பட்டுள்ளது, இதனால் தாக்குபவர்கள் ரிட்டர்ன்-ஓரியண்டட் புரோகிராமிங் (ROP) போன்ற நுட்பங்கள் மூலம் நிரல் கட்டுப்பாட்டு ஓட்டத்தை கடத்துவதை கடினமாக்குகிறது. PAC ஐ வெற்றிகரமாக புறக்கணிப்பது, சலுகை அதிகரிப்பு போன்ற ஆழமான கணினி தாக்குதல்களை செயல்படுத்தக்கூடும். இந்தக் குறைபாட்டை உள்நாட்டில் கண்டறிந்த ஆப்பிள், “பாதிக்கப்படக்கூடிய குறியீட்டை நீக்குவதன் மூலம்” இது சரி செய்யப்பட்டதாகக் கூறியது.
ஐபோன்கள், ஐபேட்கள், மேக்ஸ், ஆப்பிள் டிவி மற்றும் விஷன் ப்ரோ ஆகியவற்றுக்கான புதுப்பிப்புகள்
iOS சாதனங்களுக்கு எதிராக செயலில் உள்ள தாக்குதல்கள் பதிவாகியிருந்தாலும், இணைப்புகள் பரந்த தாக்கத்தை உறுதிப்படுத்துகின்றன. திருத்தங்கள் iOS 18.4.1, iPadOS 18.4.1, macOS Sequoia 15.4.1, tvOS 18.4.1, மற்றும் visionOS 2.4.1 ஆகியவற்றில் சேர்க்கப்பட்டுள்ளன.
புதுப்பிப்புகளைப் பெறும் வன்பொருளில் iPhone XS மற்றும் புதிய மாடல்கள் அடங்கும்; பல்வேறு iPad Pros (11-inch 1st gen+, 12.9-inch 3rd gen+, 13-inch), iPad Airs (3rd gen+), நிலையான iPadகள் (7th gen+), மற்றும் iPad minis (5th gen+); Apple TV HD உடன், அனைத்து Apple TV 4K மாடல்கள் மற்றும் Apple Vision Pro. செயலில் உள்ள சுரண்டல் உறுதிப்படுத்தப்பட்டதைக் கருத்தில் கொண்டு, பயனர்கள் இந்த புதுப்பிப்புகளை விரைவாகப் பயன்படுத்த அறிவுறுத்தப்படுகிறார்கள்.
வளர்ந்து வரும் ஆப்பிள் அச்சுறுத்தல்களுக்கு மத்தியில் பூஜ்ஜிய நாட்கள் ஏற்றம்
இந்த இரண்டு குறைபாடுகளும், ஆப்பிள் 2025 இல் பகிரங்கமாக சரிசெய்த நான்காவது மற்றும் ஐந்தாவது பூஜ்ஜிய-நாள் பாதிப்புகளைக் குறிக்கின்றன, இது நிறுவனத்தின் 2024 மொத்த ஆறு (இதில் செயல்பாட்டு முக்கோண உளவு பிரச்சாரத்தில் பயன்படுத்தப்பட்ட குறைபாடுகள் அடங்கும்) ஆண்டின் முதல் சில மாதங்களில் விஞ்சும் வேகத்தில் உள்ளது.
முன்பு பேட்ச் செய்யப்பட்ட 2025 பூஜ்ஜிய நாட்கள் CVE-2025-24085 (ஜனவரி), CVE-2025-24200 (பிப்ரவரி), மற்றும் CVE-2025-24201 (மார்ச்). பாதுகாப்பு ஆராய்ச்சியாளர்கள் மற்றும் அறிக்கைகள் மார்ச் மாதத்தில் மேக் பயனர்களை குறிவைக்கும் ஃபிஷிங் பிரச்சாரங்கள் தொடர்பாகப் புகாரளிப்பதால் இந்த உயர்வு ஏற்படுகிறது, இது ஆப்பிளின் சுற்றுச்சூழல் அமைப்பில் அதிகரித்த தாக்குபவர் ஆர்வத்தைக் குறிக்கிறது, இது விண்டோஸை விட குறைவான இலக்காக அதன் கடந்த கால நற்பெயரை சவால் செய்கிறது. தற்போதைய தாக்குதல்கள் அதிக இலக்கு வைக்கப்பட்டவை என்று விவரிக்கப்பட்டாலும், இணைப்புகள் கிடைப்பதற்கு பாதிக்கப்பட்ட சாதனங்களைக் கொண்ட அனைத்து பயனர்களிடமிருந்தும் நடவடிக்கை தேவைப்படுகிறது.
மூலம்: Winbuzzer / Digpu NewsTex