iOS 15.8.5 और iPadOS 15.8.5 के सुरक्षा अपडेट का विवरण

 (support.apple.com)
1 पॉइंट द्वारा GN⁺ 2025-09-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • iOS 15.8.5 और iPadOS 15.8.5 के लिए सुरक्षा अपडेट जारी किए गए हैं
  • दुर्भावनापूर्ण image file को प्रोसेस करते समय memory corruption vulnerability की रिपोर्ट की गई है
  • बहुत परिष्कृत हमलों में इस vulnerability का उपयोग खास targets पर हमले के लिए किए जाने के मामले सामने आए हैं
  • Apple ने कहा कि उसने बेहतर bounds checking के जरिए इस समस्या को ठीक किया है
  • संबंधित security vulnerability को CVE-2025-43300 के रूप में पंजीकृत और ट्रैक किया जा रहा है

अवलोकन

  • यह सुरक्षा सूचना iOS 15.8.5 और iPadOS 15.8.5 से संबंधित सुरक्षा विवरणों को कवर करती है
  • Apple ग्राहकों की सुरक्षा के लिए ऐसी नीति अपनाता है कि जांच और patch पूरा होने तक वह security issues पर टिप्पणी या पुष्टि नहीं करता
  • हाल ही में जारी की गई security releases की सूची Apple की आधिकारिक साइट पर देखी जा सकती है

लागू डिवाइस

  • यह अपडेट iPhone 6s (सभी मॉडल), iPhone 7 (सभी मॉडल), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), iPod touch (7th generation) के लिए उपलब्ध है

प्रमुख सुरक्षा मुद्दे और विवरण

  • प्रभाव का दायरा: दुर्भावनापूर्ण रूप से बदली गई image file को प्रोसेस करने पर memory corruption हो सकती है
  • Apple को ऐसी रिपोर्ट मिली है कि इस vulnerability का वास्तव में विशिष्ट व्यक्तियों को निशाना बनाने वाले बहुत परिष्कृत हमलों में दुरुपयोग किया गया
  • विवरण: boundary values को गलत तरीके से संभालने के कारण out-of-bounds write vulnerability पाई गई
  • इस समस्या को बेहतर bounds checking के माध्यम से ठीक किया गया
  • इस vulnerability को CVE-2025-43300 के रूप में पंजीकृत कर प्रबंधित किया जा रहा है

अन्य संदर्भ बिंदु

  • Apple उन उत्पादों, स्वतंत्र websites, third-party products और services के लिए न तो जिम्मेदारी लेता है और न ही कोई warranty देता है, जिन्हें वह स्वयं निर्मित नहीं करता
  • third-party products के बारे में अतिरिक्त जानकारी के लिए निर्माता से संपर्क करना चाहिए

अतिरिक्त जानकारी

  • नवीनतम security updates, CVE-ID system, और Apple की security policy से जुड़ी विस्तृत जानकारी संबंधित Apple की आधिकारिक pages पर देखी जा सकती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-09-19
Hacker News की राय
  • हाल में Apple UI को लेकर नकारात्मक राय बहुत हैं, लेकिन सच में बहुत पुराने phones तक support देना मानना पड़ेगा। Google Pixel से ऐसी उम्मीद नहीं की जा सकती lol
    • Pixel 8 के बाद के models को 7 साल support मिलता है। Apple से कम है, लेकिन काफ़ी reasonable है। Pixel 6~7 को 5 साल support मिला था, जो थोड़ा छोटा ज़रूर है। सच में “lol” कहने लायक तो 2021 से पहले के models या Motorola के कुछ models हैं
    • मैं Pixel 3XL इस्तेमाल कर रहा हूँ, और अगर उस पर latest Android ROM डालकर चलाओ तो काफ़ी ठीक चलता है। सच कहूँ तो यह latest budget Android से बेहतर लगता है। अफ़सोस बस इस बात का है कि official support ख़त्म हो चुका है
    • मेरा Pixel XL रात में web browsing के लिए अच्छी तरह चलता है। “अब system updates नहीं मिलेंगे” वाली चिंता को लेकर मैं सशंकित हूँ। मैं सच में ऐसे research cases या अनुभव सुनना चाहूँगा जहाँ पुराने devices इस्तेमाल करने से वास्तविक security risk या खतरे सामने आए हों
    • मैंने हाल ही में iPhone 12 mini की battery बदलवाई, और अब उसकी performance वैसी ही है जैसी पहली बार खरीदते समय थी। कभी अगर मजबूरी में ‘upgrade’ करना पड़ा, तो दुख होगा
    • EU में 5 साल update support अब minimum requirement बन गया है, इसलिए अब Apple, Google या Samsung की तुलना में नीचे की तरफ़ है। पहले Apple बेहतर रहा होगा, लेकिन आजकल दूसरे manufacturers Apple से ज़्यादा मज़बूत और क़ानूनी तौर पर भी स्पष्ट support का वादा कर रहे हैं
  • इसमें हैरानी की बात नहीं। पहले काम के सिलसिले में Samsung से meeting की थी ताकि सैकड़ों flagship phones खरीदे जा सकें, लेकिन उन्होंने कहा कि सिर्फ़ 3 साल security patches देंगे। यह लगभग 2019 की बात है। दूसरी तरफ़ Apple से अलग meeting भी नहीं हुई थी, फिर भी अनुमानित तौर पर लगभग 6 साल support मिल रहा था। इसलिए ROI के हिसाब से business use में iPhone ही ज़्यादा लंबे समय तक इस्तेमाल लायक था। इसी वजह से हमने सिर्फ़ सैकड़ों iPhone खरीदे और Android नहीं लिया। निजी तौर पर मैंने Nexus S, Nexus 5 इस्तेमाल किए थे, लेकिन updates की कमी, button खराब होना, mic खराब होना जैसी वजहों से वे जल्दी बेकार हो गए। Sony Xperia Z5 में North America patent issue की वजह से अचानक fingerprint sensor हटा दिया गया, फिर Bluetooth audio भी टूट गया और song title दिखना बंद हो गया। यह सब 3 साल के भीतर हुआ। अब मैं Sony Android phones कभी नहीं लूँगा। एक समय के बाद custom ROM से भी ऊब गया और बस “iPhone, it just works” वाले group में शामिल होकर आगे बढ़ गया
    • जानकारी के लिए, Samsung अब अपने flagship phones पर 7 साल OS/security support देता है, और entry/mid-range Galaxy A series को भी 6 साल support मिलता है
    • "it just works" सिर्फ़ marketing slogan है। अगर आप वही features इस्तेमाल करते हैं जो ज़्यादातर लोग (95% से ज़्यादा) करते हैं, तो ठीक है, लेकिन उससे बाहर निकलते ही पता नहीं क्या होगा, और समस्या सुलझाना भी मुश्किल हो जाता है। यह बंद और सीमित ecosystem है। मेरा Apple के साथ अनुभव खराब रहा। काम के लिए मिले Apple devices में support भी ज़्यादा नहीं मिला, touchscreen खराब हुई, app software issues आए, battery ख़राब निकली, hotspot feature अधूरा लगा—काफ़ी परेशानी रही। Android में मुझे ऐसी समस्याएँ नहीं मिलीं। अगर app गड़बड़ करे तो data reset कर सकते हैं, लेकिन iOS में ऐसी सुविधा ही नहीं है, जो असुविधाजनक है। आजकल मेरे एक Apple-using दोस्त का email client iOS और macOS दोनों पर काम नहीं कर रहा। data और OS के हिसाब से समस्या अलग दिख रही है, इसलिए शायद मुझे 90 मिनट drive करके दोनों जगह जाकर खुद देखना पड़े। Apple में जब चीज़ टूटती है तो उसे खुद ठीक करने के तरीक़े बहुत सीमित हैं, इसलिए मेरे लिए यह ऐसा vendor है जिसके साथ काम नहीं करना चाहता। हाँ, ज़्यादातर features “अच्छी तरह काम” करेंगे, लेकिन Android में भी यही बात लागू होती है। जैसे Sony में मेरा luck खराब था, वैसे ही Apple में भी मेरा अनुभव खराब रहा। Sony की तरह अगर समस्या गंभीर हो तो OS बदलने का विकल्प होना बेहतर लगता है
  • लंबे समय तक Android में long-term support मुश्किल होने की बड़ी वजह यह रही है कि Qualcomm जैसे modem/SoC vendors सिर्फ़ कुछ साल तक drivers और software updates देते हैं। 2020~2021 से पहले के devices में kernel drivers या modem updates लगभग नहीं मिलते। बेशक manufacturer integration का काम करता है, लेकिन नतीजे में 3rd party ROMs (जैसे lineageos) का support period भी सीमित हो जाता है। Apple ज़्यादातर parts और software in-house संभालता है, इसलिए वह लंबे समय तक ज़्यादा लचीलेपन के साथ support दे पाता है
    • इस दावे से सहमत होना मुश्किल है, क्योंकि security vulnerabilities (CVE) का बड़ा हिस्सा modem, baseband drivers या Broadcom-controlled हिस्सों से जुड़ा नहीं होता। Google अब भी libraries या apps जैसे attack-prone हिस्सों को patch कर सकता है। मुझे तो “message image parsing” वाली vulnerabilities ज़्यादा चिंता देती हैं। इनमें सिर्फ़ image पर click करने भर से हमला हो सकता है, और यह modem-side vulnerability से कहीं ज़्यादा वास्तविक जोखिम लगता है
    • बात सही है, लेकिन आख़िरकार यही Android के design की मूल सीमा है। मुझे लगता है कि इस कारण Android की आलोचना की जा सकती है
    • सोचो तो यह बेतुकी बात है। 20 साल पुराना NIC भी अभी Linux kernel में driver support पा सकता है, तो smartphone hardware drivers को GPL के तहत open करना चाहिए। Closed drivers आख़िरकार devices को जानबूझकर जल्दी पुराना बनाने की प्रक्रिया, यानी planned obsolescence, के काम आते हैं
    • इस आम बहाने का जवाब एक क़ानूनी साधन है: ‘contract’। Project delivery के बाद भी जितने चाहो उतने updates देने को contract के ज़रिए बाध्य किया जा सकता है। Enterprise consulting में मैं खुद लगातार ऐसे contracts करता आया हूँ
    • Google चाहे तो contracts और पैसे के दम पर यह समस्या आसानी से हल कर सकता है
  • Apple security advisory में लिखा है कि “इस समस्या का इस्तेमाल specific targets पर highly sophisticated attacks में किया गया हो सकता है।” क्या इसे इस संकेत की तरह देखना चाहिए कि Apple ने पुराने versions तक security patch इसलिए दिया क्योंकि vulnerability बहुत ख़तरनाक है? Apple की security support अवधि के official मानदंड क्या हैं, यह जानना चाहूँगा
    • इसका मतलब है कि इसे वास्तव में spyware campaigns (real-world attacks) में इस्तेमाल किया गया है। पूरा exploit chain WhatsApp की तरफ़ दूसरी vulnerability का इस्तेमाल करता था, और यह vulnerability खुद Apple के default image processing module का उपयोग करने वाली सभी apps में मौजूद है। लेकिन Apple sandboxing (iMessage में BlastDoor, Safari में web content sandbox आदि) की वजह से अतिरिक्त flaws के बिना exploit होने की संभावना कम है। लेकिन अगर WhatsApp खुद vulnerable हो तो बात अलग है। Spyware attackers के लिए WhatsApp सबसे अच्छा target है। संदर्भ: WhatsApp security advisory
    • एक दिलचस्प बात यह है कि यह patch iPadOS branching से पहले का है, इसलिए iPad भी update target बना। मेरा अनुमान है कि पुराने iPad इस्तेमाल करने वाले POS devices भी target रहे होंगे। Restaurants में POS system बदलना भी आसान नहीं होता। POS vendors अक्सर बहुत ज़्यादा पैसे वसूलते हैं

    • Apple की default security support अवधि कितनी है?
      असल में यह इतना पुराना support-ended case भी नहीं है। iOS 15 का आख़िरी security update इसी साल की शुरुआत में आया था, और iOS 16 से iPhone 6s के नए OS support से बाहर होने की बात भी बस कुछ साल पुरानी है। मेरी तरह जिसने iPhone 5 साल से ज़्यादा इस्तेमाल किया है, उसके लिए Android की तुलना में यह support काफ़ी लंबा और सराहनीय लगता है

    • क्या ऐसे backports (पुराने versions के लिए security patches) से यह मानना चाहिए कि vulnerability गंभीर है?
      मैं भी यही अनुमान लगा रहा हूँ। User के नज़रिए से यह किसी ऐसे गंभीर issue का संकेत है जिसे वह control नहीं कर सकता, जैसे zero-click। हालाँकि Apple की आधिकारिक सोच मुझे नहीं पता, लेकिन मेरा भी यही मानना है

    • कोई सटीक official अवधि नहीं है। अगर issue सच में महत्वपूर्ण हो, तो बहुत पुराने devices तक के लिए भी update जारी हो सकता है। उदाहरण के लिए पहले Square terminal iPad के लिए Apple CA expiration update भी लगभग सभी devices के लिए जारी किया गया था। शायद support end date तय करने में Apple की telemetry (device status analysis) और threat model काम करते हैं
  • पुराने devices के लिए Apple का security updates जारी करना दिलचस्प है। और इस बार तो यह nation-state level attackers (cyber war आदि) से बचाव के संदर्भ में और भी खास है

    Apple को ऐसी reports की जानकारी है कि इस issue का इस्तेमाल specific targets पर किए गए बेहद sophisticated attacks में हुआ हो सकता है

    • अगर nation-state level attack की आशंका है, तो मेरा मानना है कि latest OS वाले नए phone का इस्तेमाल करना चाहिए। नया phone लेना कुछ लाख रुपये की बात नहीं है, इसलिए अगर किसी को सरकार-स्तरीय हमलों की चिंता है, तो वह 5 साल के भीतर रिलीज़ हुआ phone आसानी से ले सकता है। यह काफ़ी worthwhile है
    • व्यवहार में इसे इस तरह भी देखा जा सकता है कि attack difficulty और nation-state hacks के आम hacking tools में फैलने से पहले patch कर दिया जाए, ताकि कहीं ज़्यादा सामान्य users सुरक्षित रह सकें
  • मुझे लगता है कि article title थोड़ा भ्रामक है। ऐसा लगता है जैसे सिर्फ़ iPhone 6s ही update target है, लेकिन असल में iPhone 6s/7/SE 1st gen, iPad Air 2, iPad mini 4th gen, और iPod touch 7th gen तक सभी update ले सकते हैं। इसे सिर्फ़ “10 साल पुराना iPhone 6s” कहकर highlight करना सही नहीं। वैसे मेरे पास secondary devices के रूप में iPhone 7 और iPad mini हैं, और मैं jailbreak issue की संभावना के कारण अभी तुरंत update नहीं करूँगा
    • शायद article में सबसे पुराने device को representative example की तरह चुना गया है। मुझे नहीं लगता कि यह बहुत बड़ी समस्या है
  • इस स्थिति में किसी को भी nation-state attack जैसा माहौल साफ़ महसूस होगा
    • मुझे लगता है कि यह किसी एक देश का काम था
  • यह सच है कि Apple phones को काफ़ी लंबे समय तक support करता है। लेकिन 10 साल support वाली बात सिर्फ़ तभी लागू होती है जब आपने iPhone 6s launch होते ही महँगे दाम पर खरीदा हो। iPhone 7 (Plus) 2019 तक बिकता रहा और उसका OS version भी वही था। कठोर नज़रिए से देखें तो OS upgrades लगभग 3 साल और security patches लगभग 6 साल रहे
    • अगर support period manufacturer की sales end date से गिना जाए, तो कुछ Android devices के लिए support years negative (-) भी निकल सकते हैं। और वह 6 साल वाला support तो “अब तक भी” जारी है
  • Apple ने update जारी किया, यह अच्छी बात है। लेकिन अगर इससे remote code execution (RCE) तक संभव है, तो क्या इसका मतलब यह है कि iPhone 6s अभी भी इतने active use में हैं कि malicious attackers बड़े पैमाने पर हमले कर सकते हैं?
  • “iOS 18.6.1 0-click RCE POC,” 50 comments, related link
    • पिछली thread में शायद जिस चीज़ का ज़िक्र नहीं था, वह यह WhatsApp security advisory भी देखने लायक है। लगता है इस बार exploit, WhatsApp issue से जुड़ा था, जहाँ malicious DNG data को “zero-click” तरीके से WhatsApp में लोड कराया जाता है। यह स्पष्ट नहीं है कि इसमें sandbox escape या kernel vulnerability भी chain की गई थी या नहीं। संभव है कि यह सिर्फ़ WhatsApp messages तक पहुँचने तक सीमित रहा हो। आम तौर पर iOS security bypass के लिए कई vulnerabilities को chain करना पड़ता है, लेकिन अगर target app खुद ही vulnerable हो तो हमला काफ़ी आसान हो जाता है