मेरी तकनीक
डेफकॉन पिछले हफ्ते लास वेगास में आयोजित किया गया था। इस समारोह में, एक वक्ता, डिजीटा सिक्योरिटी के मुख्य अनुसंधान अधिकारी, पैट्रिक वार्डले ने विशेष रूप से और एक भेद्यता के बारे में गहराई से बात की, जो उन्होंने मैकओएस में ठोकर खाई, जो सिस्टम समझौता करने की अनुमति दे सकता था। उन्होंने कहा कि कोड की कुछ पंक्तियों के साथ खेलने के द्वारा, उन्होंने सीखा कि सिस्टम के UI के साथ सिंथेटिक इंटरैक्शन बड़े पैमाने पर सुरक्षा मुद्दों और शोषण के लिए मार्ग प्रशस्त कर सकता है।
वार्डले द्वारा संदर्भित सिंथेटिक इंटरैक्शन एक तरह का है जो रिमोट हमलावरों को उपयोगकर्ताओं को उनकी स्क्रीन पर दिखाई देने वाली चीजों पर क्लिक करने के लिए बिना कारण के लिए अनुमति देता है। ये क्लिक अनुचित अनुमति प्रदान कर सकते हैं और अगर इस तरह के शोषण के माध्यम से एक कर्नेल एक्सटेंशन लोड किया जाता है, तो पूरे ऑपरेटिंग सिस्टम को उच्चतम अनुमतियों के साथ समझौता किया जा सकता है।
ये एकल क्लिक अनुप्रयोगों के निष्पादन, चाबी का गुच्छा के प्राधिकरण, तीसरे पक्ष के कर्नेल एक्सटेंशन को लोड करने और आउटगोइंग नेटवर्क कनेक्शन के प्राधिकरण की अनुमति देने के लिए प्राधिकरण चौकियों को बायपास करने की शक्ति रखते हैं। यह सब कुछ होता है बस एक हमलावर को सिस्टम तक पहुंच प्राप्त करने, रुचि के कोड चलाने, और ब्याज की जानकारी और दस्तावेजों को स्वाइप करने की आवश्यकता होती है।
जब आप अपने कंप्यूटर पर किसी भी चीज़ के बारे में पूछने के लिए किसी भी प्रक्रिया को अनुमति देने के लिए प्रेरित करते हैं, तो आप ज्यादातर यह सोचते हैं कि जो प्रक्रियाएं पूछ रहे हैं उन पर भरोसा करने के बारे में दो बार सोचते हैं। एकल क्लिक हेरफेर रणनीति आपको यह जानने के बिना सेवाओं की अनुमति प्रदान करने का कारण बन सकती है कि क्या वे विश्वसनीय या सुरक्षित हैं।
इसके कारण होने वाली भेद्यता, CVE-2017-7150 , इसके संस्करण 10.13 से पहले के MacOS के संस्करणों में एक दोष है। यह भेद्यता कम से कम हमले कोडों को यूआई घटकों के साथ बातचीत करने की अनुमति देती है जिसमें वही सुरक्षित संवाद शामिल हैं जो आपको आगे ले जाने की अनुमति के लिए पूछते हैं। यूआई के खिलाफ इस तरह के सिंथेटिक क्लिक उत्पन्न करने की क्षमता हमलावरों को उन सभी अनुमतियों को प्राप्त करने की अनुमति देती है जो वे अनजाने उपयोगकर्ता से चाहते हैं और सिस्टम पर जो कुछ भी चाहते हैं उसे बाहर ले जाते हैं।
इस शून्य-दिवस के शोषण को कम करने के लिए Apple द्वारा एक अपडेट जारी किया गया है। अपडेट को 'उपयोगकर्ता सहायता प्राप्त कर्नेल एक्सटेंशन लोड हो रहा है' (Kext) कहा जाता है, और यह अपडेट सुनिश्चित करता है कि एकल क्लिक सिंथेटिक पीढ़ी नहीं हो सकती है क्योंकि उपयोगकर्ताओं को मैन्युअल रूप से अपने क्लिक करने के लिए आवश्यक है।
![बाँधना विफल: आपकी Apple घड़ी आपके iPhone के साथ जोड़ी नहीं कर सकती है [FIX]](https://jf-balio.pt/img/how-tos/72/pairing-failed-your-apple-watch-couldn-t-pair-with-your-iphone.png)
