অ্যাপল আইওএস 7 এ মৌলিক এসএসএল বাগ সংশোধন করে

কীভাবে আইওএস 7 এসএসএল শংসাপত্রকে বৈধতা দেয় তা সমস্যা সমাধান করে অ্যাপল নীরবে শুক্রবার দুপুরে আইওএস 7.06 প্রকাশ করেছে। আক্রমণকারীরা এই ইস্যুটিকে মধ্য-মধ্যবর্তী আক্রমণ চালাতে এবং সমস্ত ব্যবহারকারীর ক্রিয়াকলাপে শ্রবণ করতে পারে, বিশেষজ্ঞরা সতর্ক করেছিলেন।

অ্যাপল তার পরামর্শদানে বলেছে, "কোনও সুবিধাযুক্ত নেটওয়ার্ক পজিশনের সাথে আক্রমণকারী এসএসএল / টিএলএস দ্বারা সুরক্ষিত সেশনে ডেটা ক্যাপচার বা সংশোধন করতে পারে।"

ব্যবহারকারীদের অবিলম্বে আপডেট করা উচিত।

ইভাড্রোপার্সের জন্য নজর রাখুন

যথারীতি, অ্যাপল বিষয়টি সম্পর্কে প্রচুর তথ্য সরবরাহ করেনি, তবে দুর্বলতার সাথে পরিচিত নিরাপত্তা বিশেষজ্ঞরা হুঁশিয়ারি দিয়েছিলেন যে শিকার হিসাবে একই নেটওয়ার্কে আক্রমণকারীরা নিরাপদ যোগাযোগ পড়তে সক্ষম হবে। এই ক্ষেত্রে, আক্রমণকারী কোনও ব্যবহারকারীর আইওএস 7 ডিভাইস থেকে জিমেইল বা ফেসবুকের মতো সুরক্ষিত সাইটগুলিতে বা অনলাইন ব্যাংকিং সেশনের জন্য বার্তা পাঠাতে এবং এমনকি সংশোধন করতে পারে। ক্রডস্ট্রিকের সিটিও দিমিত্রি আল্পেরোভিচ বলেছেন, বিষয়টি "অ্যাপলের এসএসএল বাস্তবায়নের মৌলিক ত্রুটি"।

সফটওয়্যার আপডেটটি আইওএসের বর্তমান সংস্করণ আইফোন 4 এবং তার পরে, 5 তম প্রজন্মের আইপড টাচ এবং আইপ্যাড 2 এবং তারপরের জন্য উপলব্ধ। আইওএস 7.06 এবং আইওএস 6.1.6। ম্যাক ওএস এক্সের সর্বশেষ সংস্করণে একই ত্রুটি রয়েছে, তবে এখনও তা ঠাঁই করা যায় না, গুগলের সিনিয়র ইঞ্জিনিয়ার অ্যাডাম ল্যাংলি তাঁর ইম্পেরিয়াল ভিওলেট ব্লগে লিখেছিলেন। ল্যাংলি নিশ্চিত করেছেন যে ত্রুটিটি আইওএস 7.0.4 এবং ওএস এক্স 10.9.1 তেও ছিল

সুরক্ষিত বৈধতা সুরক্ষিত অধিবেশন প্রতিষ্ঠায় গুরুতর, কারণ কোনও সাইট (বা কোনও ডিভাইস) যাচাই করে যে তথ্যটি বিশ্বস্ত উত্স থেকে আসছে। শংসাপত্রটি বৈধ করে, ব্যাঙ্কের ওয়েবসাইটটি জানতে পারে যে ব্যবহারকারীর কাছ থেকে অনুরোধটি আসছে, এবং আক্রমণকারীর দ্বারা ছলিত অনুরোধ নয়। ব্যবহারকারীর ব্রাউজারটি ব্যাংকের সার্ভার থেকে প্রতিক্রিয়া এসেছিল যাচাইয়ের জন্য শংসাপত্রের উপর নির্ভর করে না কোনও আক্রমণকারী মধ্যবর্তী স্থানে বসে সংবেদনশীল যোগাযোগগুলি বিরত করে not

ডিভাইসগুলি আপডেট করুন

এটি উপস্থিত হয় ক্রোম এবং ফায়ারফক্স, যা সিকিউর ট্রান্সপোর্টের পরিবর্তে এনএসএস ব্যবহার করে, অন্তর্নিহিত ওএস দুর্বল হওয়া সত্ত্বেও দুর্বলতায় প্রভাবিত হয় না, ল্যাংলি বলেছিলেন। তিনি https://www.imperialviolet.org:12:12 এ একটি পরীক্ষার সাইট তৈরি করেছেন। "আপনি যদি 1266 পোর্টে কোনও এইচটিটিপিএস সাইট লোড করতে পারেন তবে আপনার এই বাগটি রয়েছে, " ল্যাংলি বলেছে

ব্যবহারকারীদের তাদের অ্যাপল ডিভাইসগুলি যত তাড়াতাড়ি সম্ভব আপডেট করা উচিত এবং ওএস এক্স আপডেট পাওয়া গেলে সেই প্যাচটিও প্রয়োগ করতে হবে। একটি নির্ভরযোগ্য নেটওয়ার্কে থাকাকালীন আপডেটগুলি প্রয়োগ করা উচিত এবং ব্যবহারকারীরা অবিশ্বস্ত নেটওয়ার্কগুলিতে (বিশেষত ওয়াই-ফাই) ভ্রমণের সময় / নিরাপদে নিরাপদে সাইটগুলি অ্যাক্সেস করা উচিত /

ক্র্যাডস্ট্রাইকের গবেষক অ্যালেক্স রেডোসিয়া লিখেছেন, "অপ্রতিযুক্ত মোবাইল এবং ল্যাপটপ ডিভাইসে, 'জিজ্ঞাসা করুন নেটওয়ার্কগুলিতে' নেটওয়ার্কে সেট করুন অফ করুন, যা তাদের অবিশ্বস্ত নেটওয়ার্কগুলিতে সংযোগ করার অনুরোধ জানানো থেকে বিরত রাখবে, " ক্রডস্ট্রিকের গবেষক অ্যালেক্স রাদোসিয়া লিখেছেন।

সরকারের স্নুপিংয়ের সম্ভাবনা সম্পর্কে সাম্প্রতিক উদ্বেগগুলি বিবেচনা করে, আইফোন এবং আইপ্যাডগুলি শংসাপত্রগুলি সঠিকভাবে যাচাই করছিল না তা কারও কারও কাছে উদ্বেগজনক হতে পারে। "আমি অ্যাপল বাগ সম্পর্কে নিম্নলিখিত কথাগুলি বাদ দিয়ে বিশদ আলোচনা করতে যাচ্ছি না। এটি গুরুতরভাবে কাজে লাগানো এবং এখনও নিয়ন্ত্রণে নেই, " জনস হপকিন্স বিশ্ববিদ্যালয়ের ক্রিপ্টোগ্রাফির অধ্যাপক ম্যাথু গ্রিন টুইটারে পোস্ট করেছেন।