दिसंबर का महीना साइबर सुरक्षा के लिहाज से बेहद खतरनाक साबित हो रहा है। अमेरिकी सरकार ने iPhone समेत सभी Apple डिवाइस इस्तेमाल करने वाले यूज़र्स को तुरंत अपने डिवाइस अपडेट करने की चेतावनी जारी की है। साइबर सुरक्षा एजेंसियों के अनुसार, इन डिवाइसों को निशाना बनाकर हमले पहले ही शुरू हो चुके हैं। इससे पहले Samsung, Google Pixel और अन्य Android स्मार्टफोन यूज़र्स को भी इसी तरह की चेतावनी दी जा चुकी है।
अमेरिका की साइबर डिफेंस एजेंसी CISA (Cybersecurity and Infrastructure Security Agency) की ताज़ा चेतावनी में कहा गया है कि CVE-2025-43529 नाम की एक गंभीर सुरक्षा खामी iOS और अन्य Apple प्रोडक्ट्स को प्रभावित कर रही है। एजेंसी के मुताबिक यह WebKit में मौजूद “यूज़-आफ्टर-फ्री वल्नरेबिलिटी” है। गलत तरीके से तैयार किए गए वेब कंटेंट को प्रोसेस करने पर इससे मेमोरी करप्शन हो सकता है। यह खामी Safari ब्राउज़र के साथ-साथ WebKit का उपयोग करने वाले गैर-Apple ब्राउज़र और ऐप्स को भी प्रभावित करती है।
जब Apple ने अपने डिवाइसों के लिए सिक्योरिटी अपडेट जारी किए, तो कंपनी ने यह भी पुष्टि की कि CVE-2025-14174 नाम की एक और वल्नरेबिलिटी पर सक्रिय रूप से हमले किए जा रहे हैं। यह वही खामी है जिसे लेकर पहले ही CISA ने Google Chrome और अन्य Chromium आधारित ब्राउज़र इस्तेमाल करने वाले यूज़र्स के लिए चेतावनी जारी की थी।
CISA के अनुसार, “Google Chromium के ANGLE कंपोनेंट में एक आउट-ऑफ-बाउंड्स मेमोरी एक्सेस वल्नरेबिलिटी पाई गई है, जो किसी रिमोट अटैकर को खास तरीके से बनाए गए HTML पेज के जरिए मेमोरी तक अनधिकृत पहुंच की अनुमति दे सकती है।” साइबर विशेषज्ञों का कहना है कि अलग-अलग प्लेटफॉर्म पर सामने आ रही इन कमजोरियों का पैटर्न साफ तौर पर दिख रहा है।
इस ‘खतरनाक दिसंबर’ की शुरुआत Google द्वारा Android डिवाइसों पर हो रहे हमलों की चेतावनी से हुई थी। Android ऑपरेटिंग सिस्टम को लेकर CISA पहले ही दो गंभीर अलर्ट जारी कर चुकी है। CVE-2025-48572 और CVE-2025-48633 Android फ्रेमवर्क से जुड़ी ऐसी कमजोरियां हैं, जिनके जरिए प्रिविलेज एस्केलेशन और संवेदनशील जानकारी के लीक होने का खतरा है।
साइबर सुरक्षा एजेंसियों का कहना है कि ये सभी हमले कमर्शियल स्पाइवेयर के जरिए किए जा रहे हैं, जिन्हें किराए पर लेकर इस्तेमाल किया जाता है। शुरुआत में ऐसे हमले खास यूज़र्स को टारगेट करते हैं, जिनमें से कई को Apple और Google ने सीधे अलर्ट भेजकर चेताया है। हालांकि, विशेषज्ञों का मानना है कि खतरा यहीं खत्म नहीं होगा। BeyondTrust के जेम्स मॉडे के अनुसार, “यह एक्सप्लॉइट जल्द ही कई तरह के साइबर अपराधियों के लिए एक जरूरी हथियार बन सकता है।”
CISA की Binding Operational Directive (BOD) के तहत अमेरिकी संघीय कर्मचारियों के लिए प्रभावित डिवाइसों को तय समयसीमा के भीतर अपडेट करना या उनका उपयोग बंद करना अनिवार्य कर दिया गया है। Android डिवाइसों के लिए अंतिम तारीख 23 दिसंबर तय की गई है, Google Chrome के लिए 2 जनवरी और iPhone तथा अन्य Apple डिवाइसों के लिए 5 जनवरी की डेडलाइन रखी गई है।
हालांकि CISA ने यह भी स्पष्ट किया है कि यह निर्देश सीधे तौर पर केवल संघीय एजेंसियों पर लागू होता है, लेकिन एजेंसी ने सभी संगठनों और यूज़र्स से अपील की है कि वे साइबर हमलों के खतरे को कम करने के लिए ज्ञात एक्सप्लॉइट और सुरक्षा कमजोरियों को समय पर ठीक करने को प्राथमिकता दें।
