क्या iOS के लिए WiFi KRACK भेद्यता पैच कर दी गई है?

WPA2 में एक नई भेद्यता है जिसे KRACK (की-रीइंस्टॉलेशन अटैक के लिए संक्षिप्त) कहा जाता है, जैसा कि द गार्जियन लेख में वर्णित है: ' सभी वाईफाई नेटवर्क' हैकिंग की चपेट में हैं, सुरक्षा विशेषज्ञ को पता चलता है '

लेख के अनुसार:

भेद्यता कई ऑपरेटिंग सिस्टम और उपकरणों को प्रभावित करती है, रिपोर्ट में कहा गया है, जिसमें एंड्रॉइड, लिनक्स, एप्पल , विंडोज, ओपनबीएसडी, मीडियाटेक, लिंक्स और अन्य शामिल हैं।

क्या आईओएस के लिए कोई सुरक्षा रिलीज तय की गई है?

ios wifi security

— dwightk
स्रोत

करीबी मतदाता: यह सवाल निश्चित रूप से यहाँ विषय पर है; जब तक आप सुरक्षा भेद्यता प्रबंधन के आंतरिक कामकाज से परिचित नहीं होते हैं, तब तक अनुसंधान करना मुश्किल है - मूल रूप से, आप नहीं जानते कि आप क्या जानते हैं।

— एलन

AirPort फर्मवेयर अपडेट समान रूप से महत्वपूर्ण होने जा रहे हैं!

— स्व.नाम

जवाबों:

अपडेट 31 अक्टूबर 2017 को जारी किया गया

Apple ने अपडेट जारी किया है जिसमें MacOS, iOS, TVOS और watchOS के लिए KRACK भेद्यता के लिए एक फिक्स शामिल है। अपडेट प्राप्त करने के लिए:

macOS हाई सिएरा 10.13.1 और सिएरा और एल कैपिटन के लिए सुरक्षा अपडेट -
ऐप स्टोर लॉन्च करें और अपडेट टैब चुनें।
iOS 11.1 -
सेटिंग> जनरल> सॉफ्टवेयर अपडेट पर जाएं
watchOS 4.1 -
अपने iPhone पर वॉच ऐप लॉन्च करें, फिर जनरल> सॉफ़्टवेयर अपडेट पर जाएं
tvOS 11.1 -
Apple TV 4 (और 4K) के लिए Settings> System> Software Updates और Select Software पर जाएं।
Apple TV (2nd / 3rd जनरेशन) के लिए Settings> General> Update Software पर जाएं

यह ऐप्पल की नीति सुरक्षा कमजोरियों पर टिप्पणी करने की नहीं है जब तक कि उन्हें पैच नहीं किया जाता है, और यहां तक कि जब वे ऐसा करते हैं, तो वे अक्सर इसके बारे में काफी अस्पष्ट होते हैं।

Apple सुरक्षा अपडेट के बारे में

हमारे ग्राहकों की सुरक्षा के लिए, Apple सुरक्षा जांच का खुलासा, चर्चा या पुष्टि नहीं करता है, जब तक कि कोई जाँच नहीं हुई है और पैच या रिलीज़ उपलब्ध नहीं हैं। हालिया रिलीज़ Apple सुरक्षा अपडेट पृष्ठ पर सूचीबद्ध हैं ।

हालाँकि, थोड़े जासूसी के काम से हम कुछ जानकारी हासिल कर सकते हैं। को देखते हुए इस विशेष भेद्यता करने के लिए सौंपा CVEs , ^* हम मुद्दों है कि की सूची प्राप्त कर सकते हैं चाहिए एप्पल द्वारा संबोधित किया, जब वे एक सुरक्षा पैच जारी करने का फैसला:

CVE-2017-13077: 4-तरह के हैंडशेक में पेयरवाइज़ एन्क्रिप्शन कुंजी (PTK-TK) की स्थापना ।

CVE-2017-13078: 4-तरह के हैंडशेक में समूह कुंजी (GTK) की स्थापना ।

CVE-2017-13079: 4-तरह के हैंडशेक में अखंडता समूह कुंजी (IGTK) की स्थापना।

CVE-2017-13080: समूह कुंजी हैंडशेक में समूह कुंजी (GTK) की स्थापना ।

CVE-2017-13081: समूह कुंजी हैंडशेक में अखंडता समूह कुंजी (IGTK) की स्थापना।

CVE-2017-13082: इसे संसाधित करते समय युग्मित एन्क्रिप्शन कुंजी (PTK-TK) को पुन : व्यवस्थित फास्ट BSS ट्रांज़िशन (FT) पुन: पृथक्करण अनुरोध को स्वीकार करना और पुन: स्थापित करना।

सीवीई-2017-13084: पीरकेय हैंडशेक में एसटीके कुंजी की स्थापना।

सीवीई-2017-13086: टीडीएलएस हैंडशेक में टनलड डायरेक्ट-लिंक सेटअप (टीडीएलएस) पीर्के (टीपीके) कुंजी को फिर से स्थापित करना।

CVE-2017-13087: वायरलेस नेटवर्क प्रबंधन (WNM) स्लीप मोड रिस्पॉन्स फ्रेम को संसाधित करते समय समूह कुंजी (GTK) की पुनर्स्थापना।

CVE-2017-13088: वायरलेस नेटवर्क प्रबंधन (WNM) स्लीप मोड रिस्पॉन्स फ्रेम को संसाधित करते समय अखंडता समूह कुंजी (IGTK) का पुनर्स्थापन।

इसके अलावा, यह ZDNet अनुच्छेद - यहाँ अभी KRACK वाई-फाई भेद्यता के लिए हर पैच उपलब्ध है (16 अक्टूबर, 2017) इंगित करता है कि विक्रेता तेजी से प्रतिक्रिया दे रहे हैं और Apple ने पुष्टि की है कि पैच बीटा में हैं।

Apple ने पुष्टि की कि यह iOS, MacOS, WatchOS और TVOS के लिए बीटा में फिक्स है, और कुछ हफ्तों में इसे सॉफ़्टवेयर अपडेट में रोल आउट कर देगा।

^*आम कमजोरियाँ और एक्सपोज़र (CVE®) सार्वजनिक रूप से ज्ञात साइबर सुरक्षा कमजोरियों के लिए आम पहचानकर्ताओं की एक सूची है। "सीवीई आइडेंटिफ़ायर (सीवीई आईडी)" का उपयोग, जिसे दुनिया भर के सीवीई नंबरिंग अथॉरिटीज़ (सीएनए) द्वारा सौंपा गया है, एक अद्वितीय सॉफ़्टवेयर भेद्यता के बारे में जानकारी पर चर्चा करने या साझा करने के लिए पार्टियों के बीच विश्वास सुनिश्चित करता है, उपकरण मूल्यांकन के लिए एक आधार रेखा प्रदान करता है, और साइबर सुरक्षा स्वचालन के लिए डेटा विनिमय सक्षम बनाता है।

— एलन
स्रोत

मुझे इसका परीक्षण करने की लालसा है; फिक्स के प्रलेखन की अनुपस्थिति प्रभावी रूप से सुधारों की अनुपस्थिति का प्रमाण हो सकती है, लेकिन Apple सिर्फ खुले मुद्दों से दूर रखने के लिए wannabe पटाखे पर मनोवैज्ञानिक चाल खेल सकता है। (बेशक, मैं अपने निष्कर्षों को तब तक साझा नहीं करूंगा जब तक कि Apple ने समस्या को ठीक नहीं कर लिया है।)

— wizzwizz4

IMore के चीफ एडिटर रेने रिची की रिपोर्ट है कि यह भेद्यता सभी मौजूदा macOS, watchOS, tvOS और iOS betas में तय की गई है ।

अपडेट जहाज तक, कई सुरक्षा ब्लॉग वीपीएन और वाई-फाई पर प्रसारित किसी भी जानकारी की सुरक्षा के लिए एसएसएल के साथ संरक्षित साइटों का उपयोग करने की सलाह देते हैं।

जबकि SSL KRACK हमले से डेटा सुरक्षा की गारंटी नहीं देता है, लेकिन यह इसे काफी कठिन बना देता है। हालांकि, KRACK एन्क्रिप्शन से पहले डेटा का उपयोग करने के लिए संभवतः गहरी पहुंच प्राप्त करता है।

— vykor
स्रोत

लेकिन कृपया मुफ्त या अविश्वसनीय वीपीएन का उपयोग न करें क्योंकि यह बस एक खतरे का व्यापार करेगा

— स्टीव

हाँ। उस वीपीएन लाइन को एक संपादक द्वारा मेरे मूल पोस्ट में जोड़ा गया था। मैं व्यक्तिगत रूप से किसी भी वीपीएन पर भरोसा नहीं करूंगा जो मैंने खुद नहीं चलाया, अपने सर्वर से।

— विक्टर

मैंने देखा कि यह आपका संपादन नहीं था, लेकिन मैं यह सुनिश्चित करना चाहता था कि मैं किसी के पास से गुजरने के लिए एक नोट जोड़

— स्टीव

"हालांकि, एन्क्रिप्शन से पहले डेटा का उपयोग करने के लिए KRACK को पर्याप्त रूप से गहरी पहुंच प्राप्त होती है।" उम्म नं। यह बेतार संचार में भेद्यता है। यह आपका उत्तर है, आप अन्य लोगों द्वारा किए गए संपादन को अस्वीकार कर सकते हैं।

— miken32

@FyodorGlebov यह हमला ग्राहकों के खिलाफ है। राउटर को अपडेट किया जाना चाहिए, लेकिन क्लाइंट भेद्यता का स्रोत हैं।

— dwightk

-2

भेद्यता को ध्यान में रखते हुए सिर्फ प्रकाशित किया गया है (इस सवाल के समय में पूछा गया) और मुझे संदेह है कि इसे पहले किसी भी निर्माता को भेजा गया था (जैसा कि इस बारे में सूचित करने के लिए पार्टियों की संख्या पर विचार करना बहुत मुश्किल होगा) - यह Apple के लिए थोड़ी देर लगेगा। सभी मौजूदा उपकरणों के लिए नया अपडेट बंडल करें और इसे जारी करें।

जैसा कि यह हमेशा होता है कि Apple केवल एक ही भेद्यता के लिए iOS / Mac OS का तत्काल पैच नहीं करता है, यह कुछ सुधारों / बदलावों को एक साथ अपडेट करता है।

इसके अलावा, एक निर्धारण, परीक्षण, सत्यापन, जारी करने आदि में समय लगता है। तो यह तुरंत संबोधित नहीं किया जाएगा।

— एलेक्सी कामेन्सकी
स्रोत

US-CERT इन मामलों में सूचनाओं का समन्वय करता है। इस मामले के लिए, जुलाई और अगस्त में विक्रेताओं को सूचित किया गया ( krackattacks.com )। खुलासे से पहले काफी समय दिया गया था। वास्तव में, OpenBSD ने आम तोड़ दिया और बहुत जल्दी पैच कर दिया, जिससे मूल शोधकर्ता के साथ एक मामूली घटना हुई।

— विक्टर

"चूंकि यह हमेशा से पहले रहा है, Apple केवल एक भेद्यता के लिए iOS / Mac OS का तत्काल पैच नहीं करता है ..." Err, Apple ने जल्द ही सामान्य अपडेट चैनलों और शेड्यूल के बैश -आउट के लिए एक बार का पैच जारी किया- जब "शेलशॉक" खोज की थी।

— जेकगोल्ड