हर किसी को एप्पल के मुफ्त उपहार पसंद हैं, खासकर मुफ्त सॉफ्टवेयर अपडेट। मुफ़्त में बेहतर चीज़ें -कौन बहस कर सकता है? फिर भी, जब Apple ने 15 नवंबर से नवंबर तक, दो सप्ताह की अवधि में चार सॉफ़्टवेयर अपडेट जारी किए 29, एक बड़े और बड़े पैमाने पर गैर-दस्तावेजी मैक ओएस एक्स अपडेट के बाद, यह किसी को भी देने के लिए पर्याप्त था रोकना।
अपडेट के इस हालिया दौर पर कुछ प्रकाश डालने के लिए आइए एक नजर डालते हैं सुरक्षा अद्यतन 2005-009, समूह में सबसे महत्वपूर्ण और व्यापक रूप से प्रासंगिक।
सुरक्षा अद्यतन 2005-009
29 नवंबर को रिलीज होने वाली फिल्म को लेकर आप शायद और भी ज्यादा भ्रमित हो गए होंगे सुरक्षा अद्यतन 2005-009 सामान्य से अधिक, कम से कम यदि आप Mac OS रिलीज़ के पहले दिन, Apple के डाउनलोड पेज के लिंक टूट गए थे और आपके ब्राउज़र को कुछ भी नहीं पर रीडायरेक्ट कर दिया गया था। सॉफ़्टवेयर अपडेट ने Mac OS
उस समाधान के साथ, Apple का 2005 का नौवां सुरक्षा अद्यतन चार अपेक्षित कॉन्फ़िगरेशन में उपलब्ध था: Mac OS सर्वर 10.3.9, मैक ओएस एक्स 10.4.3, और मैक ओएस एक्स सर्वर 10.4.3। नियमित और सर्वर संस्करणों के लिए टाइगर संस्करण 5एमबी और 6एमबी हैं, क्रमश; पैंथर संस्करण क्रमशः 20एमबी और 33एमबी हैं। वे बड़े हैं क्योंकि पैंथर संस्करणों में, टाइगर संस्करणों के विपरीत, पहले के अपडेट के फ़िक्सेस शामिल हैं, जिनमें सुरक्षा अपडेट 2005-008 और 2005-007 में मिली फ़ाइलें भी शामिल हैं। टाइगर संस्करणों में पुराने सुधार शामिल नहीं हैं क्योंकि उनकी आवश्यकता है
मैक ओएस एक्स 10.4.3, जो हैलोवीन पर जारी किया गया था और इसमें सुरक्षा अद्यतन 2005-008 और पहले के सुधार शामिल हैं।वैसे, इसका मतलब यह नहीं है कि Mac OS ऐसा होता है. Mac OS उनमें से दो में समूह सदस्यता या फ़ाइल स्वामित्व में भ्रामक या विलंबित परिवर्तन शामिल हैं, दूसरी चिंता किचेन एक्सेस द्वारा प्रदर्शित किसी भी चीज़ को अस्पष्ट करने में विफल होना है पासवर्ड जब उनका किचेन टाइमआउट के कारण लॉक हो जाता है, और दूसरा आपको लंबित सॉफ़्टवेयर अपडेट को अन-अनदेखा करने से रोकता है जब तक कि कोई नया, गैर-अनदेखा अपडेट न हो पहुँचा। (यदि यह सब पर्याप्त रूप से भ्रमित करने वाला नहीं था, तो भेद्यता संख्याएँ अब "CAN" के बजाय "CVE" से शुरू होती हैं, इसके लिए धन्यवाद नाम बदलने का निर्णय 19 अक्टूबर को लागू किया गया।)
मैक ओएस एक्स 10.4.3 में सुरक्षा सुधार
| अवयव | मुद्दा | भेद्यता आईडी | 10.4.2 ग्राहक | 10.4.2 सर्वर |
|---|---|---|---|---|
| खोजक | प्रदर्शित फ़ाइल और समूह स्वामित्व जानकारी का वास्तविक स्वामित्व जानकारी से बहुत कम लेना-देना हो सकता है | सीवीई-2005-2749 | एक्स | एक्स |
| सॉफ्टवेयर अपडेट | सभी उपलब्ध अपडेट को "अनदेखा" के रूप में चिह्नित करने से सॉफ़्टवेयर अपडेट तुरंत बंद हो जाता है, बिना किसी पहले से नज़रअंदाज़ किए गए अपडेट की स्थिति को रीसेट करने का मौका दिए बिना। | सीवीई-2005-2750 | एक्स | एक्स |
| चाबी का गुच्छा पहुंच | यदि कोई चाबी का गुच्छा उस चाबी का गुच्छा में संग्रहीत पासवर्ड प्रदर्शित करते समय टाइमआउट के कारण लॉक हो जाता है, तो चाबी का गुच्छा लॉक होने पर पासवर्ड अस्पष्ट होने के बजाय दृश्यमान रहता है | सीवीई-2005-2739 | एक्स | एक्स |
| सदस्य | समूह सदस्यता में परिवर्तन लागू करने वाले डेमॉन ने एक्सेस कंट्रोल लिस्ट (एसीएल) को जल्दी से अपडेट नहीं किया, जिससे समूह से हटाए गए उपयोगकर्ताओं को समूह फ़ाइलों तक पहुंच जारी रखने की अनुमति मिल गई। | सीवीई-2005-2751 | * | एक्स |
| मच कर्नेल | कर्नेल इंटरफ़ेस "अप्रारंभिक" मेमोरी से डेटा लौटा सकता है जो वास्तव में पहले से ही कर्नेल द्वारा उपयोग और जारी किया गया था, जिसमें संभावित रूप से बचा हुआ संवेदनशील डेटा शामिल है | सीवीई-2005-1126, सीवीई-2005-1406, सीवीई-2005-2752 | एक्स | एक्स |
एक्स = इस अद्यतन में फिक्स्ड; * = प्रभावित घटक या सुविधा इस संस्करण में कभी नहीं थी
Mac OS प्रोग्राम अपने स्वयं के उद्देश्यों के लिए उपयोग करने के लिए ऑपरेटिंग सिस्टम से मेमोरी का अनुरोध करते हैं, और जब उनका काम पूरा हो जाता है तो वे इसे वापस ओएस पर छोड़ देते हैं, इसलिए ओएस इसे अन्य रैम अनुरोधों के लिए पुन: उपयोग कर सकता है। हालाँकि, अधिकांश प्रोग्राम मेमोरी को रिलीज़ करने से पहले उसकी सामग्री को मिटाते नहीं हैं, क्योंकि इसमें समय लगता है और आमतौर पर यह अनावश्यक होता है। ओएस इसी कारण से रिलीज़ की गई मेमोरी को नहीं मिटाता है।
हालाँकि, कर्नेल को मेमोरी मिटा देनी चाहिए यह जारी करता है. कर्नेल कभी भी कॉल करने वालों को अप्रारंभीकृत मेमोरी नहीं देना चाहता, क्योंकि कॉल करने वाला तब देख सकता है उस रैम में कुछ अन्य कर्नेल कोड संग्रहीत थे - एक फ़ाइल बफ़र, एक पासवर्ड, एक नेटवर्क पैकेट, इत्यादि पर। सुरसेक ने पाया दो समस्याएँ जो Mac OS Mac OS
सुरक्षा अद्यतन 2005-009 उस बेसलाइन में और अधिक सुधार जोड़ता है। अद्यतन के चार अलग-अलग संस्करणों के लिए अतिरिक्त कॉलम के साथ उनका सारांश नीचे दिया गया है। जैसा कि आप तालिका में देख सकते हैं, कई त्रुटियाँ सामान्य और आसानी से ठीक होने वाली बफ़र ओवरफ़्लो समस्याएँ हैं जिनकी हमने चर्चा की है एमडब्ल्यूजे 2005.08.20. अन्य विशिष्ट त्रुटियाँ पार्सिंग में हैं, जैसे कि सफ़ारी बग जो ब्राउज़र को "बहुत" के साथ फ़ाइलें डाउनलोड करने में सक्षम बनाता है long" फ़ाइल नाम को अप्रत्याशित रूप से गलत निर्देशिका में, या JavaScriptCore में नियमित अभिव्यक्ति इंजन में कर सकना अतिप्रवाह बफ़र्स दुर्भावनापूर्ण अभिव्यक्ति के साथ.
सुरक्षा अद्यतन 2005-009 सुधार
| अवयव | मुद्दा | भेद्यता आईडी | 10.3.9 | 10.3.9 सर्वर | 10.4.3 | 10.4.3 सर्वर |
|---|---|---|---|---|---|---|
| अपाचे 2 | संस्करण 2.0.55 में अद्यतन करें, कुछ मध्यवर्ती सर्वरों के साथ क्रॉस-साइट स्क्रिप्टिंग समस्याओं सहित कमजोरियों को ठीक करें | सीवीई-2005-2088 | * | एक्स | * | एक्स |
| Apache_mod_ssl | SSLVerifyClient निर्देश का उपयोग करने वाले कॉन्फ़िगरेशन आवश्यक SSL क्लाइंट प्रमाणीकरण को बायपास करने की अनुमति दे सकते हैं | सीवीई-2005-2700 | एक्स | एक्स | एक्स | एक्स |
| कोर फाउंडेशन | दुर्भावनापूर्ण ढंग से तैयार किया गया यूआरएल पार्सिंग के दौरान बफर को ओवरफ्लो कर सकता है | सीवीई-2005-2757 | * | * | एक्स | एक्स |
| मूल सेवाएं | कोर प्रकार बंडल में अद्यतन डाउनलोड की गई फ़ाइलों की "असुरक्षित निष्पादन योग्य" सूची में ".term" फ़ाइल नाम एक्सटेंशन (टर्मिनल फ़ाइलें) वाली फ़ाइलें जोड़ता है | एन/ए | * | * | एक्स | एक्स |
| कर्ल | दुर्भावनापूर्ण HTTP सर्वर के साथ एनएलटीएम प्रमाणीकरण का उपयोग करने से बफर ओवरफ्लो हो सकता है और मनमाना कोड निष्पादित हो सकता है | सीवीई-2005-3185 | * | * | एक्स | एक्स |
| मैन पेज | ओपनएसएसएच और पीएएम के लिए अद्यतन दस्तावेज़ | एन/ए | # | # | एक्स | एक्स |
| ओडीबीसी प्रशासक | आंतरिक iodbcadmintool प्रोग्राम अपने रूट विशेषाधिकारों के साथ मनमाना कोड निष्पादित करने की अनुमति दे सकता है | सीवीई-2005-3700 | एक्स | एक्स | एक्स | एक्स |
| ओपनएसएसएल | संगतता विकल्पों का उपयोग करते समय या SSLv2 को स्पष्ट रूप से अक्षम करने में विफल रहने पर SSLv2 (SSLv3 या TLS से) में डाउनग्रेड को रोकने के लिए v0.9.7i में अपडेट किया गया | सीवीई-2005-2969 | एक्स | एक्स | एक्स | एक्स |
| पासवर्ड सर्वर | ओपन डायरेक्ट्री मास्टर सर्वर बनाते समय संभावित रूप से समझौता किए गए क्रेडेंशियल्स से वंचित स्थानीय उपयोगकर्ताओं को उन्नत सर्वर विशेषाधिकार प्राप्त हो सकते हैं | सीवीई-2005-3701 | * | एक्स | * | एक्स |
| जल्द आकर्षित | "PICT" फ़ाइलें बनाने में अनिर्दिष्ट सुधार | एन/ए | एक्स | एक्स | # | # |
| सफारी | डाउनलोड के लिए सर्वर द्वारा सुझाए गए लंबे फ़ाइल नाम सफारी को गलत स्थान पर फ़ाइलों को सहेज सकते हैं, जो शायद अन्य उपयोगकर्ताओं के लिए सुलभ हो सकता है | सीवीई-2005-3702 | एक्स | एक्स | एक्स | एक्स |
| सफारी | जावास्क्रिप्ट कोड द्वारा बनाए गए डायलॉग बॉक्स अब उस साइट का नाम प्रदर्शित करते हैं जिसके कोड ने डायलॉग बनाया है | सीवीई-2005-3703 | एक्स | एक्स | एक्स | एक्स |
| सफारी | "क्रेडिट कार्ड सुरक्षा कोड" प्रबंधन में अनिर्दिष्ट सुधार | एन/ए | एक्स | एक्स | एक्स | एक्स |
| सर्वर माइग्रेशन | उन अनावश्यक विशेषाधिकारों को हटा देता है जिनकी उपयोगिता को आवश्यकता नहीं है | एन/ए | ? | ? | ? | ? |
| सूडो | कस्टम कॉन्फ़िगरेशन को अनधिकृत विशेषाधिकार वृद्धि की अनुमति देने से रोकने के लिए संस्करण 1.6.8p9 में अपडेट करें | सीवीई-2005-1993 | एक्स | एक्स | एक्स | एक्स |
| syslog | न्यूलाइन वर्णों वाले लॉग संदेश उन घटनाओं के लिए नए संदेशों का अनुकरण कर सकते हैं जो घटित नहीं हुईं | सीवीई-2005-3704 | * | * | एक्स | एक्स |
| वेब किट | जावास्क्रिप्ट के लिए पीसीआरई इंजन में संभावित रूप से शोषण योग्य बफर ओवरफ़्लो है जो मनमाने ढंग से कोड निष्पादन की अनुमति दे सकता है | सीवीई-2005-2491 | एक्स | एक्स | एक्स | एक्स |
| वेब किट | सामग्री की अनिर्दिष्ट डाउनलोडिंग एक बफर को ओवरफ्लो कर सकती है और मनमाना कोड निष्पादित कर सकती है | सीवीई-2005-3705 | एक्स | एक्स | एक्स | एक्स |
एक्स = इस अद्यतन में फिक्स्ड; * = प्रभावित घटक या सुविधा इस संस्करण में कभी नहीं थी; # = इस अद्यतन से पहले इस संस्करण में बग नहीं था;? = अज्ञात
Apple के अपडेट नोट्स में "अतिरिक्त जानकारी" के रूप में चिह्नित एक अनुभाग शामिल है जो कि परिवर्तनों का वर्णन करता है कोई प्रकट कारण नहीं, "सुरक्षा अद्यतन" में शामिल हैं लेकिन उनमें कोई निर्दिष्ट भेद्यता संख्या नहीं है। इनमें से एक Mac OS इसे यहां पाई गई XML फ़ाइल के माध्यम से नियंत्रित किया जाता है
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System. जैसा कि पहले चर्चा की गई है, इस फ़ाइल में सिस्टम का विचार है कि कौन से फ़ाइल प्रकार, एमआईएमई प्रकार और फ़ाइल नाम एक्सटेंशन डाउनलोड करने के लिए सुरक्षित और "खतरनाक" फ़ाइलों का प्रतिनिधित्व करते हैं। सुरक्षा अद्यतन 2005-009 फ़ाइल नाम एक्सटेंशन जोड़ता है
।अवधि"असुरक्षित निष्पादनयोग्य" की श्रेणी में। जब आप सफारी या कोर टाइप्स का उपयोग करने वाले किसी अन्य एप्लिकेशन में ऐसी फ़ाइल डाउनलोड करते हैं, तो आपको चेतावनी दी जाएगी कि इसमें निष्पादन योग्य कोड हो सकता है। (सफ़ारी का कहना है कि इसमें "एक एप्लिकेशन शामिल है।") आपके संशोधित करने के लिए टाइगर में एक तरीका बनाया गया है कोर प्रकार और अपने स्वयं के प्रकार जोड़ें या सिस्टम के डिफ़ॉल्ट को ओवरराइड करें, लेकिन Apple ने अभी भी दस्तावेज़ीकरण नहीं किया है यह।
यह "अतिरिक्त जानकारी" चिंताजनक है। पिछले कुछ वर्षों से, Apple केवल सुरक्षा अद्यतनों में सुरक्षा समस्याओं को ठीक करने में सावधानी बरत रहा है। गैर-सुरक्षा बग ओएस संशोधन, या एयरपोर्ट अपडेट या डीवीडी प्लेयर अपडेट जैसे अलग इंस्टॉलेशन की प्रतीक्षा करते हैं। टर्मिनल फ़ाइलों के बारे में आपको चेतावनी देने के लिए कोर प्रकारों को अपडेट करने जैसे परिवर्तन स्पष्ट रूप से सुरक्षा सुधारों के रूप में गिने जाते हैं, जैसा कि स्पष्ट रूप से "क्रेडिट कार्ड सुरक्षा कोड के प्रबंधन में सुधार के लिए" सफारी को अपडेट करना होगा।
लेकिन अगर ये सुरक्षा मुद्दे हैं, तो Apple ने उनके लिए CVE नंबर क्यों नहीं प्राप्त किए और उन्हें सामान्य रूप से दस्तावेज़ित क्यों नहीं किया? QuickDraw PICT फ़ाइलों के प्रतिपादन में सुधार के बारे में सुरक्षा-संबंधी क्या है? यदि सुरक्षा अपडेट नियमित बग फिक्स सहित शुरू होते हैं, तो एक प्रणाली जो पहले से ही कुछ हद तक भ्रमित करने वाली है, पूरी तरह से अभेद्य हो सकती है। इससे Apple या उसके ग्राहकों को कोई लाभ नहीं होगा।
अपडेट का जादू
माना जाता है कि OS यदि आपको अत्यावश्यक के रूप में चिह्नित किया गया है, तो आपको उन्हें पृष्ठभूमि में डाउनलोड करना होगा और जब आप अत्यावश्यक हों तो उन्हें अपने लिए इंस्टॉल करना होगा तैयार। फिर भी हम जानते हैं कि सुरक्षा अद्यतन 2005-009 और अन्य अद्यतनों के साथ भी ऐसा नहीं हो रहा है, क्योंकि पाठक, मित्र और परिवार हमें ऐसा बताते रहते हैं। वे बस इस बात को नज़रअंदाज कर देते हैं कि सॉफ़्टवेयर अपडेट क्या प्रदर्शित करता है क्योंकि वे यह पता नहीं लगा सकते कि अपडेट को क्या करना चाहिए।
Apple ने सार्वजनिक रूप से Mac OS यह सामान्य नियम है, प्रकृति का नियम नहीं - 2005 में नौ सुरक्षा अद्यतन हुए हैं, और उपलब्ध छह महीनों में तीन मैक ओएस एक्स 10.4 अपडेट हुए हैं। लेकिन फिर, इरादा लोगों को अपडेट को समझने और उन्हें लागू करने में आत्मविश्वास महसूस करने में मदद करता है। सुरक्षा अद्यतन हर चार से छह सप्ताह में आते हैं और केवल उन कमजोरियों को संबोधित करते हैं जिनका हमलावर फायदा उठा सकते हैं। Mac OS अंतरिम में महत्वपूर्ण अपडेट लक्षित घटकों के लिए आते हैं, जैसे एयरपोर्ट एक्सट्रीम या जावा 2एसई 5.0।
यह आसान है, यह अनुमान लगाया जा सकता है, यह समझदार है - जिस हद तक यह एक साथ रहता है। लक्ष्य तक 80 प्रतिशत पहुँचने के लिए यह पर्याप्त नहीं है। अंतिम 20 प्रतिशत को नष्ट कर देने से हर कोई अपडेट के बारे में भ्रमित हो जाता है और पहले 80 प्रतिशत संचार कार्य को काफी हद तक अप्रासंगिक बना देता है। इस तिमाही में यही हुआ है।
Mac OS उसके बाद, हमें एक सुरक्षा अपडेट मिला जिसमें गैर-सुरक्षा सुधार हो सकते हैं, महान डेवलपर रिलीज़ नोट्स के साथ एक जावा अपडेट लेकिन लगभग कोई उपयोगकर्ता स्पष्टीकरण नहीं, एक बमुश्किल प्रलेखित एयरपोर्ट दो अलग-अलग नामों के साथ अपडेट (और दो संस्करण संख्याओं के साथ एक संस्करण), एक ब्रॉडबैंड ट्यूनर जो ब्रॉडबैंड वाले अधिकांश लोगों के लिए सही नहीं है, और एक फर्मवेयर अपडेट जो एक वर्ष से विलंबित है।
यह अविश्वसनीय रूप से निराशाजनक है क्योंकि Apple अपडेट को सही ढंग से काम करने के बहुत करीब है। नियम जटिल नहीं हैं.
Apple की अपडेट भाषा उच्च स्वर में चिल्लाती है, "हम आपको इस अपडेट के बारे में बहुत अधिक नहीं बताना चाहते क्योंकि हम शर्मिंदा हैं इसके बारे में।" यह उन अधिकांश लोगों के लिए अहित है जो कार्य प्रणालियों पर रहस्यमय अपडेट स्थापित करने में अनिच्छुक हैं। यदि Apple के प्रत्येक नवंबर अपडेट को स्पष्ट रूप से नामित, वर्णित और प्रस्तुत किया गया होता, तो हर कोई जानता होता कि क्या उम्मीद की जानी चाहिए। और कल्पना करें कि यदि किसी को कभी यह न पूछना पड़े कि Apple अपडेट क्या करता है तो दुनिया अधिक उपयोगी कार्यों पर कितना समय व्यतीत कर सकती है।
[ MacJournals.com द्वारा प्रकाशित MWJ के 10 दिसंबर के अंक से अनुमति के साथ उद्धृत। कॉपीराइट 2005, जीसीएसएफ निगमित। MWJ के निःशुल्क परीक्षण के लिए, यहाँ जाएँ www.macjournals.com। ]