ওয়াইফাই KRACK দুর্বলতা আইওএস জন্য প্যাচ করা হয়েছে?

41

দ্য গার্ডিয়ান নিবন্ধে বর্ণিত ডাব্লুপিএ 2-তে একটি নতুন দুর্বলতা রয়েছে যা কেআরএকেকে (কী রিইনস্টলেশন অ্যাটাকের জন্য সংক্ষিপ্ত) বলেছে: ' সমস্ত ওয়াইফাই নেটওয়ার্ক' হ্যাকিংয়ের জন্য ঝুঁকিপূর্ণ, সুরক্ষা বিশেষজ্ঞের আবিষ্কার '

নিবন্ধ অনুযায়ী:

এই দুর্বলতা অ্যান্ড্রয়েড, লিনাক্স, অ্যাপল , উইন্ডোজ, ওপেনবিএসডি, মিডিয়াটেক, লিংকসিসহ অন্যান্য বেশ কয়েকটি অপারেটিং সিস্টেম এবং ডিভাইসকে প্রভাবিত করে।

এটি সংশোধন করার জন্য কি কোনও সুরক্ষা প্রকাশ হয়েছে?

ios  wifi  security 
dwightk
সূত্র
5
ভোটারদের ঘনিষ্ঠ: এই প্রশ্নটি এখানে অবশ্যই স্পষ্টভাবে রয়েছে; আপনি সুরক্ষা দুর্বলতা ব্যবস্থাপনার অভ্যন্তরীণ কাজের সাথে পরিচিত না হলে গবেষণা করা কঠিন - মূলত, আপনি কী জানেন না তা আপনি জানেন না।
অ্যালান
5
এয়ারপোর্ট ফার্মওয়্যারের আপডেটগুলিও সমান গুরুত্বপূর্ণ হতে চলেছে!
16'17 এ স্ব-

উত্তর:

32

আপডেটগুলি 31 অক্টোবর 2017 প্রকাশিত হয়েছে

অ্যাপল আপডেটগুলি প্রকাশ করেছে যা ম্যাকোস, আইওএস, টিভিএস এবং ওয়াচওএসের জন্য কেআরএক্সকে দুর্বলতার জন্য একটি সমাধান অন্তর্ভুক্ত করে। আপডেটগুলি পেতে:

  • ম্যাকস হাই সিয়েরা 10.13.1 এবং সিয়েরা ও এল ক্যাপিটেনের জন্য সুরক্ষা আপডেট -
    অ্যাপ স্টোর চালু করুন এবং আপডেট ট্যাবটি নির্বাচন করুন।
  • আইওএস 11.1 -
    সেটিংস> সাধারণ> সফ্টওয়্যার আপডেটে যান
  • watchOS 4.1 -
    আপনার আইফোনে ওয়াচ অ্যাপ্লিকেশনটি চালু করুন, তারপরে সাধারণ> সফ্টওয়্যার আপডেটে যান
  • tvOS 11.1 -
    অ্যাপল টিভি 4 (এবং 4 কে) এর জন্য সেটিংস> সিস্টেম> সফ্টওয়্যার আপডেট এবং যান আপডেট সফ্টওয়্যার নির্বাচন করুন।
    অ্যাপল টিভির জন্য (২ য় / তৃতীয় প্রজন্মের) সেটিংস> সাধারণ> আপডেট সফ্টওয়্যারটিতে যান

এটি প্যাচ না করা পর্যন্ত সুরক্ষা দুর্বলতার বিষয়ে মন্তব্য না করা অ্যাপলের নীতি, এবং এমনকি যখন তারা তা করে তবে তারা প্রায়শই এটি সম্পর্কে অস্পষ্ট থাকে।

অ্যাপল সুরক্ষা আপডেট সম্পর্কে

আমাদের গ্রাহকদের সুরক্ষার জন্য, অ্যাপল তদন্ত না হওয়া এবং প্যাচগুলি বা রিলিজ উপলব্ধ না হওয়া পর্যন্ত সুরক্ষা সমস্যাগুলি প্রকাশ, আলোচনা বা নিশ্চিত করে না। সাম্প্রতিক প্রকাশগুলি অ্যাপল সুরক্ষা আপডেটের পৃষ্ঠায় তালিকাভুক্ত রয়েছে ।

তবে, কিছু গোয়েন্দা কাজ করে আমরা কিছুটা অন্তর্দৃষ্টি অর্জন করতে পারি। এ খুঁজছি এই বিশেষ দুর্বলতা নির্ধারিত CVEs , * আমরা যে সমস্ত কারণে একটি তালিকা পেতে পারেন উচিত আপেল দ্বারা সুরাহা করা যখন তারা একটি নিরাপত্তা প্যাচ ইস্যু করার সিদ্ধান্ত নেন:

  • CVE-2017-13077: 4-টি হ্যান্ডশেকটিতে জোড়াযুক্ত এনক্রিপশন কী (পিটিকে-টিকে) পুনরায় ইনস্টল করা।
  • CVE-2017-13078: 4-টি হ্যান্ডশেকে গ্রুপ কী (জিটিকে) পুনরায় ইনস্টল করুন।
  • CVE-2017-13079: 4-মুখী হ্যান্ডশেকটিতে অখণ্ডতা গ্রুপ কী (IGTK) পুনরায় ইনস্টল করুন।
  • CVE-2017-13080: গ্রুপ কী হ্যান্ডশাকে গ্রুপ কী (জিটিকে) পুনরায় ইনস্টল করুন।
  • CVE-2017-13081: গ্রুপ কী হ্যান্ডশেকটিতে অখণ্ডতা গ্রুপ কী (IGTK) পুনরায় ইনস্টল করুন।
  • CVE-2017-13082: একটি পুনঃপ্রেরণিত দ্রুত বিএসএস ট্রানজিশন (এফটি) পুনঃস্থাপনের অনুরোধ গ্রহণ করা এবং এটি প্রক্রিয়া করার সময় জোড়যুক্ত এনক্রিপশন কী (পিটিকে-টিকে) পুনরায় ইনস্টল করা।
  • CVE-2017-13084: পিয়ারকে হ্যান্ডশেকে এসটিকে কী পুনরায় ইনস্টল করুন।
  • CVE-2017-13086: টিডিএলএস হ্যান্ডশেকের টানেলড ডাইরেক্ট-লিংক সেটআপ (টিডিএলএস) পিয়ারকে (টিপিকে) কীটি পুনরায় ইনস্টল করুন।
  • CVE-2017-13087: ওয়্যারলেস নেটওয়ার্ক ম্যানেজমেন্ট (ডাব্লুএনএম) স্লিপ মোড রেসপন্স ফ্রেম প্রক্রিয়া করার সময় গ্রুপ কী (জিটিকে) পুনরায় ইনস্টল করা।
  • CVE-2017-13088: ওয়্যারলেস নেটওয়ার্ক ম্যানেজমেন্ট (ডাব্লুএনএম) স্লিপ মোড রেসপন্স ফ্রেম প্রসেস করার সময় অখণ্ডতা গ্রুপ কী (আইজিটিকে) পুনরায় ইনস্টল করা।

এছাড়াও, এই জেডডিনেট আর্টিকেল - এখনই উপলব্ধ কেআরএকেকে ওয়াই-ফাই দুর্বলতার জন্য এখানে প্রতিটি প্যাচ হ'ল (অক্টোবর 16, 2017) ইঙ্গিত দেয় যে বিক্রেতারা দ্রুত সাড়া দিচ্ছেন এবং অ্যাপল নিশ্চিত করেছে যে প্যাচগুলি বিটাতে রয়েছে।

অ্যাপল নিশ্চিত করেছে যে এটি আইওএস, ম্যাকোস, ওয়াচওএস এবং টিভিওএসের বিটাতে একটি সংশোধন করেছে এবং কয়েক সপ্তাহের মধ্যে একটি সফ্টওয়্যার আপডেটে এটি চালু করবে।

* সাধারণ দুর্বলতা এবং এক্সপোজারগুলি (সিভিই®) জনসাধারণের জন্য পরিচিত সাইবার সুরক্ষা দুর্বলতার জন্য সাধারণ সনাক্তকারীদের একটি তালিকা। "সিভিই আইডেন্টিফায়ার্স (সিভিই আইডি)" ব্যবহার করুন, যা বিশ্বজুড়ে সিভিই নাম্বার কর্তৃপক্ষ (সিএনএ) দ্বারা নির্ধারিত হয়, যখন কোনও অনন্য সফ্টওয়্যার দুর্বলতার বিষয়ে আলোচনা বা তথ্য ভাগ করে নেওয়ার ক্ষেত্রে পক্ষগুলির মধ্যে আস্থা নিশ্চিত করে, সরঞ্জাম মূল্যায়নের জন্য একটি বেসলাইন সরবরাহ করে, এবং সাইবার সুরক্ষা অটোমেশনের জন্য ডেটা এক্সচেঞ্জ সক্ষম করে।

অ্যালান
সূত্র
2
আমি এটি পরীক্ষা করার জন্য প্রলুব্ধ করছি; ফিক্সগুলির ডকুমেন্টেশনের অভাব কার্যকরভাবে ফিক্সগুলির অনুপস্থিতির প্রমাণ হতে পারে তবে অ্যাপল তাদের ওপেন ইস্যু থেকে দূরে সরিয়ে ফেলার জন্য ওয়ানব ক্র্যাকারে মনস্তাত্ত্বিক কৌশল খেলতে পারে। (অবশ্যই, অ্যাপল সমস্যা সমাধান না করা পর্যন্ত আমি আমার অনুসন্ধানগুলি ভাগ করব না))
wizzwizz4
11

আইমোরের চিফ অফ ইন চিফ, রেনি রিচি জানিয়েছেন যে এই দুর্বলতাটি সমস্ত বর্তমান ম্যাকোস, ওয়াচওএস, টিভিএস এবং আইওএস বিটাতে স্থির হয়েছে

আপডেটগুলি শিপ না হওয়া পর্যন্ত অনেকগুলি সুরক্ষা ব্লগ ওয়াই-ফাইতে সংক্রমণিত কোনও তথ্য সুরক্ষার জন্য এসএসএল দ্বারা সুরক্ষিত ভিপিএন এবং সাইটগুলি ব্যবহার করার পরামর্শ দেয় recommend

যদিও এসএসএল কোনও KRACK আক্রমণ থেকে ডেটা সুরক্ষার গ্যারান্টি দেয় না, এটি এটি উল্লেখযোগ্যভাবে আরও শক্ত করে তোলে। যাইহোক, কেআরএক্সকে এনক্রিপশনের আগে ডেটা সম্ভবত অ্যাক্সেস করার জন্য যথেষ্ট গভীর অ্যাক্সেস অর্জন করে।

vykor
সূত্র
2
তবে দয়া করে ফ্রি বা অবিশ্বস্ত ভিপিএন ব্যবহার করবেন না কারণ এটি কেবল একটির জন্য অন্য একটি হুমকির জন্য বাণিজ্য করবে
স্টিভ
1
হ্যাঁ. সেই ভিপিএন লাইনটি একজন সম্পাদক আমার মূল পোস্টে যুক্ত করেছিলেন। আমি ব্যক্তিগতভাবে এমন কোনও ভিপিএনকে বিশ্বাস করব না যা আমি নিজের সার্ভার থেকে চালাইনি।
vykor
আমি দেখতে পেয়েছি যে এটি আপনার সম্পাদনা নয়, তবে কেবল এটি নিশ্চিত করতে চেয়েছিলেন যে পাশ দিয়ে যাওয়ার জন্য আমি একটি নোট যুক্ত করেছি :)
স্টিভ
1
"তবে, এনআরক্রিপশনের আগে ডেটা অ্যাক্সেস করার জন্য কেআরএকেক গভীরভাবে অ্যাক্সেস অর্জন করে।" উম্ম নং। এটি ওয়্যারলেস যোগাযোগের একটি দুর্বলতা। এটি আপনার উত্তর, আপনি অন্য ব্যক্তিদের সম্পাদনাগুলি প্রত্যাখ্যান করতে পারেন।
miken32
1
@ ফায়োডর গ্লেবভ এই আক্রমণটি ক্লায়েন্টদের বিরুদ্ধে। রাউটারটি আপডেট করা উচিত, তবে ক্লায়েন্টরা দুর্বলতার উত্স।
dwightk
-2

দুর্বলতা বিবেচনা করে সবেমাত্র প্রকাশিত হয়েছে (এই প্রশ্ন জিজ্ঞাসার সময়ে) এবং আমি সন্দেহ করি যে এটি কোনও নির্মাতাকে প্রথমে প্রেরণ করা হয়েছিল (যেহেতু এটি সম্পর্কে অবহিত করা সংখ্যক পক্ষের বিবেচনা করা খুব কঠিন হবে) - অ্যাপলকে কিছুটা সময় নিতে হবে সমস্ত বিদ্যমান ডিভাইসগুলির জন্য নতুন আপডেট বান্ডিল করুন এবং এটি প্রকাশ করুন।

এটি কেবল সর্বদা ছিল যে কেবল অ্যাপল কোনও একক দুর্বলতার জন্য আইওএস / ম্যাক ওএসের জরুরি প্যাচ না করে, এটি কয়েকটি আপডেট / পরিবর্তন একসাথে একটি আপডেটে বান্ডিল করে।

এছাড়াও একটি সংশোধন করা, পরীক্ষা করা, যাচাই করা, মুক্তি ইত্যাদি সময় লাগে। সুতরাং এটি তাত্ক্ষণিকভাবে সম্বোধন করা হবে না।

আলেক্সি কামেনস্কি
সূত্র
10
ইউএস-সিইআরটি এই ক্ষেত্রে বিজ্ঞপ্তিগুলির সমন্বয় করে। এই মামলার জন্য, জুলাই এবং আগস্টে বিক্রেতাদের অবহিত করা হয়েছিল ( ক্র্যাক্যাট্যাক্যাক্স.কম )। প্রকাশের আগে প্রচুর সময় দেওয়া হয়েছিল। আসলে, ওপেনবিএসডি নিষেধাজ্ঞাকে ভেঙে দিয়েছে এবং খুব তাড়াতাড়ি প্যাচ করেছে, মূল গবেষকটির সাথে একটি ছোটখাটো ঘটনা ঘটেছে।
vykor
2
"যেমনটি সর্বদা ছিল কেবলমাত্র একক দুর্বলতার জন্য অ্যাপল আইওএস / ম্যাক ওএসের জরুরি প্যাচ না করে ..." এরর, অ্যাপল দ্রুত বাশ -সাধারণ আপডেট চ্যানেল এবং সময়সূচীর জন্য একটি সময় প্যাচ প্রকাশ করেছিল - যখন "শেলশাক" আবিষ্কৃত হয়.
জ্যাকগল্ড
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.