دانيال Hruska ڪجھ ڏينهن اڳ، ايپل سؤن کي جاري ڪيو iOS 7.0.6 اپڊيٽ، جنهن جي ڇڏڻ جي باري ۾ اسان توهان کي ٻڌايو. ڪيترائي حيران ٿي ويا هوندا ته تازه ڪاري پڻ پراڻي iOS 6 (ورژن 6.1.6) ۽ ايپل ٽي وي (ورژن 6.0.2) لاءِ جاري ڪئي وئي هئي. هي هڪ سيڪيورٽي پيچ آهي، تنهنڪري ايپل پنهنجي ڊوائيسز جو صرف هڪ حصو اپڊيٽ ڪرڻ جي متحمل نه ٿي سگهي. وڌيڪ ڇا آهي، اهو مسئلو OS X کي به متاثر ڪري ٿو. ايپل جي ترجمان ٽروڊي مولر جي مطابق، هڪ او ايس ايڪس جي تازه ڪاري جلد کان جلد جاري ڪئي ويندي.
هن تازه ڪاري جي چوڌاري تمام گهڻو هائپ ڇو آهي؟ سسٽم جي ڪوڊ ۾ هڪ نقص سرور جي تصديق کي ISO/OSI ريفرنس ماڊل جي لاڳاپيل پرت تي محفوظ ٽرانسميشن تي پاسو ڪرڻ جي اجازت ڏئي ٿو. خاص طور تي، غلطي ھڪڙو خراب SSL عمل آھي ان حصي ۾ جتي سرور سرٽيفڪيٽ جي تصديق ٿئي ٿي. ان کان اڳ جو مان وڌيڪ وضاحت ۾ وڃان، مان بنيادي مفهومن کي بيان ڪرڻ کي ترجيح ڏيان ٿو.
SSL (Secure Socket Layer) هڪ پروٽوڪول آهي جيڪو محفوظ ڪميونيڪيشن لاءِ استعمال ٿيندو آهي. اهو سيڪيورٽي حاصل ڪري ٿو انڪرپشن جي ذريعي ۽ رابطي واري پارٽين جي تصديق. تصديق پيش ڪيل سڃاڻپ جي تصديق آهي. حقيقي زندگي ۾، مثال طور، توهان پنهنجو نالو (سڃاڻپ) چئو ۽ پنهنجي سڃاڻپ ڏيکاريو ته جيئن ٻيو ماڻهو ان جي تصديق ڪري سگهي (تصديق ڪري). تصديق کي پوءِ تصديق ۾ ورهايو ويندو آهي، جيڪو صرف هڪ مثال آهي قومي شناختي ڪارڊ، يا سڃاڻپ سان، جڏهن سوال ڪندڙ شخص توهان جي سڃاڻپ جو تعين ڪري سگهي ٿو بغير توهان ان کي پيش ڪرڻ کان سواءِ.
هاڻي مان مختصر طور تي سرور جي سرٽيفڪيٽ تي حاصل ڪندس. حقيقي زندگي ۾، توهان جو سرٽيفڪيٽ ٿي سگهي ٿو، مثال طور، هڪ سڃاڻپ ڪارڊ. سڀڪنھن شيءِ تي ٻڌل آھي غير متناسب ڪرپٽ گرافي، جتي ھر مضمون جا ٻه ڪنجيون آھن - نجي ۽ عوامي. سڄي خوبي ان حقيقت ۾ آهي ته پيغام کي عوامي ڪيئي سان انڪريپٽ ڪري سگهجي ٿو ۽ پرائيويٽ ڪيئي سان ڊڪرپٽ ڪري سگهجي ٿو. هن جو مطلب آهي ته صرف خانگي چاٻي جو مالڪ پيغام کي رد ڪري سگهي ٿو. ساڳئي وقت، ٻنهي رابطي واري پارٽين کي ڳجهي چاٻي جي منتقلي بابت پريشان ٿيڻ جي ڪا ضرورت ناهي. سرٽيفڪيشن پوءِ موضوع جي عوامي ڪنجي کي ان جي معلومات سان گڏ ڪيو ويندو آهي ۽ سرٽيفڪيشن اٿارٽي طرفان دستخط ٿيل هوندو آهي. چيڪ جمهوريت ۾، سرٽيفڪيشن اختيارين مان هڪ آهي، مثال طور، Česká Pošta. سرٽيفڪيٽ جي مهرباني، آئي فون تصديق ڪري سگهي ٿو ته اهو واقعي ڏنل سرور سان رابطو ڪري رهيو آهي.
SSL هڪ ڪنيڪشن قائم ڪرڻ وقت غير معمولي انڪرپشن استعمال ڪري ٿو، جنهن کي سڏيو ويندو آهي SSL هٿ ملائڻ. هن مرحلي تي، توهان جو فون تصديق ڪري ٿو ته اهو ڏنل سرور سان رابطو ڪري رهيو آهي، ۽ ساڳئي وقت، غير معمولي انڪرپشن جي مدد سان، هڪ سميٽرڪ ڪيچ قائم ڪئي وئي آهي، جيڪا ايندڙ سڀني ڪميونيڪيشن لاءِ استعمال ٿيندي. Symmetric encryption تيز آهي. جيئن اڳ ۾ ئي لکيو ويو آهي، غلطي اڳ ۾ ئي سرور جي تصديق دوران ٿيندي آهي. اچو ته ڪوڊ تي هڪ نظر رکون جيڪو هن سسٽم جي نقصان جو سبب بڻائيندو.
static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa,
SSLBuffer signedParams, uint8_t *signature, UInt16 signatureLen)
{
OSStatus err;
…
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
…
fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;
}
ٻي حالت ۾ if توھان ھيٺ ڏنل ٻه حڪم ڏسي سگھو ٿا ناڪام ٿيو؛. ۽ اها ئي رڪاوٽ آهي. اهو ڪوڊ وري ٻئي حڪم کي اسٽيج تي عمل ڪرڻ جو سبب بڻائيندو آهي جڏهن سرٽيفڪيٽ جي تصديق ٿيڻ گهرجي ناڪام ٿيو؛. ان ڪري ٽين حالت ڇڏي وڃي ٿي if ۽ اتي ڪا به سرور جي تصديق نه ٿيندي.
ان جا نتيجا هي آهن ته ڪو به ماڻهو هن خطري جي ڄاڻ سان توهان جي فون کي جعلي سرٽيفڪيٽ پيش ڪري سگهي ٿو. توهان يا توهان جي فون تي، توهان سوچيو ٿا ته توهان انڪرپٽ ٿيل گفتگو ڪري رهيا آهيو، جڏهن ته توهان ۽ سرور جي وچ ۾ هڪ حملو ڪندڙ آهي. اهڙي حملي کي سڏيو ويندو آهي وچ ۾ انسان جو حملو، جنهن جو تقريباً چيڪ ۾ ترجمو ڪيو ويو آهي وچ ۾ انسان جو حملو يا وچ ۾ انسان. OS X ۽ iOS ۾ هن خاص خامي کي استعمال ڪندي هڪ حملو صرف ان صورت ۾ ٿي سگهي ٿو جڏهن حملو ڪندڙ ۽ مقتول هڪ ئي نيٽ ورڪ تي آهن. تنهن ڪري، اهو بهتر آهي ته عوامي وائي فائي نيٽ ورڪن کان بچڻ لاء جيڪڏهن توهان پنهنجي iOS کي اپڊيٽ نه ڪيو آهي. Mac صارفين کي اڃا به محتاط هجڻ گهرجي ته اهي نيٽ ورڪ سان ڳنڍيندا آهن ۽ انهن نيٽ ورڪن تي ڪهڙيون سائيٽون دورو ڪندا آهن.
اهو يقين کان ٻاهر آهي ته اهڙي موتمار غلطي ان کي OS X ۽ iOS جي آخري نسخن ۾ ڪيئن ڪري سگهي ٿي. اهو ٿي سگهي ٿو ناقص لکيل ڪوڊ جي متضاد جاچ. ان جو مطلب اهو ٿيندو ته پروگرامر ۽ ٽيسٽ ڪندڙ ٻئي غلطيون ڪندا. اهو ايپل لاءِ ممڪن ناهي لڳي، ۽ ان ڪري قياس آرائي جو مٿاڇرو آهي ته هي بگ اصل ۾ هڪ پٺتي پيل آهي، جنهن کي سڏيو ويندو آهي. پويون دروازو. اهو ڪجھ به نه آهي ته اهي چون ٿا ته بهترين پٺتي پيل ذيلي غلطين وانگر نظر اچن ٿا. بهرحال، اهي صرف غير تصديق ٿيل نظريا آهن، تنهنڪري اسان اهو فرض ڪنداسين ته ڪو ماڻهو صرف هڪ غلطي ڪئي.
جيڪڏهن توهان کي پڪ ناهي ته توهان جو سسٽم يا برائوزر هن بگ کان محفوظ آهي، صفحي جو دورو ڪريو gotofail.com. جيئن توهان هيٺ ڏنل تصويرن ۾ ڏسي سگهو ٿا، OS X Mavericks 7.0.1 ۾ سفاري 10.9.1 ۾ هڪ بگ آهي، جڏهن ته iOS 7.0.6 ۾ سفاري ۾ سڀ ڪجهه ٺيڪ آهي.
ذريعي حملو…. مون ڪافي عرصي ۾ اهڙو سٺو، دلدار کلڻ نه ڪيو آهي!
ائين ٿئي جيئن ٿي سگھي - مان ذاتي طور تي ان کي سمجھان ٿو APPLE پاران سڀني استعمال ڪندڙن لاءِ ھڪڙو پيغام - ڇا اھو ھڪڙو طريقو ھو يا ٻيو (۽ مان نٿو سمجھان ته ھن غلطي جي واقع ٿيڻ جا ذڪر ڪيل 2 امڪانن کان وڌيڪ حقيقي آھن)، ٻئي APPLE شين جي عام مالڪن جو سادو ٺٺوليون آهن!
خدا جو شڪر آهي ته توهان صحيح آهيو.
مان سمجهان ٿو ته هي هڪ حقيقي غلطي آهي. مان تصور ڪري سگھان ٿو ته اھو ٺاھيو ويو جڏھن ورزننگ سسٽم ۾ ٻن شاخن کي ملائي، جيڪڏھن ھڪڙي شاخ ھڪڙي لڪير ھئي. بهرحال، اهو صرف هڪ ٻيو ڪيس آهي جنهن جي تصديق ڪري ٿي ته پروگرامرز کي مجبور ڪرڻ لاء هڪ لڪير کي به بند ڪرڻ لاء جيڪڏهن جسم هڪ بلاڪ ۾ آهي.
تفصيلي وضاحت لاء مهرباني!
بحث کان ٻاهر لکڻ لاءِ معاف ڪجو، پر هاڻي مون idnes تي پڙهيو آهي ته مبينا طور تي وڏي آئي فون کي iPhablet سڏيو وڃي ٿو :-D مون اهو تقريبا وڃائي ڇڏيو آهي.. :-D سڀني ايپل پيار ڪندڙن کي سلام
….. واهه، تخليق آهستي آهستي غائب نه ٿي رهي آهي ….. شايد اهو صرف هڪ بتھ آهي!
هيلو، ڇا توهان کي اپڊيٽ ڪرڻ کانپوءِ بيٽري جي زندگي جا مسئلا آهن؟ مون کي آئي پي 5 بابت ڪيترن ئي شڪايتن کان پوءِ هڪ نئون مليو، تنهنڪري مون وٽ هڪ نئين بيٽري آهي جيڪا لڳ ڀڳ ٻه ڏينهن رهي. اپڊيٽ ٿيڻ کان پوءِ، منهنجو فون 8 ڪلاڪن اندر مري ويو ۽ مان ان کي گهڻو استعمال نٿو ڪريان.
ذاتي طور تي، مون ٽارچ سان ڪو به مسئلو رجسٽرڊ نه ڪيو آهي. ها جيتوڻيڪ ماضي ۾، ۽ iOS جي هڪ بيڪ اپ ۽ صاف ريٽرننگ هميشه مدد ڪئي آهي. اميد ته اهو توهان جي مدد ڪندو.
مون اڄ اهو ڪيو ۽ بدقسمتي سان ڪا به تبديلي نه آئي :-/