विज्ञापन

सीपीयू निर्माता कुछ महीनों में लगभग समाप्त हो रहे हैं। बड़े पैमाने पर स्पेक्टर और मेल्टडाउन कमजोरियां कंप्‍यूटर की दुनिया को हिला दिया। और फिर, अगर कमजोरियां काफी खराब थीं, तो समस्याओं को ठीक करने के लिए पैच अपने स्वयं के सेट के साथ आए थे। यह होगा कुछ समय तक स्पेक्टर / मेल्टडाउन का प्रभाव फीका रहा.

AMD चिप्स अप्रकाशित नहीं थे। इससे भी बदतर, मार्च 2018 में, शोधकर्ताओं ने दावा किया है कि नए एएमडी-विशिष्ट महत्वपूर्ण कमजोरियों का एक बेड़ा मिला है। हालाँकि, तकनीक की दुनिया में कुछ लोग अनिश्चित हैं। क्या इसमें महत्वपूर्ण कमजोरियों की रिपोर्ट का कोई सच है AMD Ryzen CPUs नई AMD Ryzen के बारे में इतना अच्छा क्या है?AMD Ryzen बस उतरा, और CPU की दुनिया बस दिलचस्प हो गई। सभी के बारे में प्रचार क्या है, और क्या यह आपके लिए सही है? अधिक पढ़ें ? आइए अब तक की कहानी पर एक नज़र डालें।

क्रिटिकल वल्नरेबिलिटीज़ एंड एक्सप्लोएबल बैकसाइड

इजरायल की सुरक्षा फर्म CTS लैब्स ने 13 महत्वपूर्ण कमजोरियों का खुलासा किया। कमजोरियाँ AMD के Ryzen वर्कस्टेशन, Ryzen Pro, Ryzen मोबाइल आर्किटेक्चर और EPYC सर्वर प्रोसेसर को प्रभावित करती हैं। इसके अलावा, कमजोरियों ने स्पेक्टर / मेल्टडाउन के लिए समान समानताएं दीं और एक हमलावर को निजी डेटा तक पहुंच प्राप्त करने, मैलवेयर स्थापित करने, या एक समझौता किए गए सिस्टम तक पहुंच प्राप्त करने की अनुमति दी।

instagram viewer

प्रोसेसर कमजोरियां एएमडी के सिक्योर प्रोसेसर, एक सीपीयू सुरक्षा सुविधा के डिजाइन से उपजी हैं जो एन्क्रिप्शन कुंजी, पासवर्ड और अन्य अत्यंत संवेदनशील डेटा के सुरक्षित भंडारण की अनुमति देता है। यह एएमडी के ज़ेन चिपसेट के डिज़ाइन में एक दोष के साथ संयोजन में है जो प्रोसेसर को अन्य हार्डवेयर उपकरणों से जोड़ता है।

“एएमडी के अधिकांश उत्पादों का यह अभिन्न अंग, जिसमें वर्कस्टेशन और सर्वर शामिल हैं, वर्तमान में कई के साथ भेजे जा रहे हैं सुरक्षा कमजोरियां जो दुर्भावनापूर्ण अभिनेताओं को सुरक्षित प्रोसेसर के अंदर दुर्भावनापूर्ण कोड स्थापित करने की अनुमति दे सकती हैं अपने आप।"

क्या ये कमजोरियाँ वास्तविक हैं?

हां, वे बहुत वास्तविक हैं और चार स्वादों में आते हैं:

  • Ryzenfall: दुर्भावनापूर्ण कोड को AMD सुरक्षित प्रोसेसर का पूर्ण नियंत्रण लेने देता है
  • विवाद: एक हमलावर को SMRAM जैसे संरक्षित मेमोरी क्षेत्रों से पढ़ने और लिखने की अनुमति देता है
  • काइमेरा: एक "डबल" भेद्यता, एक फर्मवेयर दोष और एक हार्डवेयर दोष के साथ, जो दुर्भावनापूर्ण कोड के इंजेक्शन को सीधे AMD Ryzen चिपसेट में अनुमति देता है; चिपसेट आधारित मैलवेयर लगभग सभी एंडपॉइंट सुरक्षा समाधान विकसित करता है
  • मास्टर चाबी: AMD सुरक्षित प्रोसेसर फर्मवेयर में कई कमजोरियों को उजागर करता है ताकि सुरक्षित प्रोसेसर तक पहुंच की अनुमति मिल सके; सुरक्षा से बचने के लिए अत्यंत गुप्त रूप से लगातार चिपसेट आधारित मैलवेयर की अनुमति देता है; भौतिक उपकरण क्षति के लिए अनुमति दे सकता है

CTS लैब्स सुरक्षा ब्लॉग में कहा गया है, '' हमलावर विंडोज लेनेंशियल गार्ड को बायपास करने के लिए राइजनफॉल का इस्तेमाल कर सकते हैं, नेटवर्क क्रेडेंशियल्स चुरा सकते हैं और तब संभावित रूप से अत्यधिक सुरक्षित विंडोज कॉर्पोरेट नेटवर्क के माध्यम से फैल गया […] हमलावर रायजेनफॉल का उपयोग कर सकते हैं मास्टर ने सिक्योर प्रोसेसर पर लगातार मैलवेयर स्थापित करने के लिए, ग्राहकों को गुप्त और दीर्घकालिक औद्योगिक के जोखिम से अवगत कराया जासूसी। "

अन्य सुरक्षा शोधकर्ताओं ने निष्कर्षों को जल्दी से सत्यापित किया।

रिलीज के आसपास प्रचार के बावजूद, कीड़े वास्तविक हैं, उनकी तकनीकी रिपोर्ट (जो सार्वजनिक रूप से अफाक नहीं है) में सटीक रूप से वर्णित है, और उनका शोषण कोड काम करता है।

- डैन गुइडो (@dguido) १३ मार्च २०१8

कमजोरियों में से किसी को चलाने के लिए भौतिक डिवाइस पहुंच या किसी अतिरिक्त ड्राइवर की आवश्यकता नहीं होती है। हालांकि, उन्हें स्थानीय मशीन व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है, इसलिए कुछ राहत है। और इसका सामना करें, यदि किसी के पास आपके सिस्टम की सीधी पहुंच है, तो आप पहले से ही दर्द की दुनिया में हैं।

फिर क्या है मुद्दा?

खैर, किसी ने भी वास्तव में सीटीएस लैब्स के बारे में नहीं सुना है। जो अपने आप में एक मुद्दा नहीं है। छोटी फर्म हर समय उत्कृष्ट शोध पूरा करती हैं। बल्कि, यह भी है कि सीटीएस लैब्स जनता की कमजोरियों के बारे में कैसे बताती है। मानक सुरक्षा प्रकटीकरण शोधकर्ताओं को संवेदनशील निष्कर्षों के साथ सार्वजनिक होने से पहले किसी समस्या को सुधारने के लिए कमजोर कंपनी को कम से कम 90-दिन देने के लिए कहता है।

CTS लैब्स ने अपने amdflaws [ब्रोकन URL रिमूव्ड] साइट को ऑनलाइन डालने से 24 घंटे पहले AMD दिया। और जिसने सुरक्षा समुदाय से महत्वपूर्ण ire को आकर्षित किया है। हालांकि यह केवल साइट नहीं है जिस तरह से कमजोरियों को प्रस्तुत किया जाता है वह भी ड्राइंग मुद्दा है। भेद्यता सूचना साइट शोधकर्ताओं में से एक के साथ एक साक्षात्कार की सुविधा देती है, इन्फोग्राफिक्स से भरा है और अन्य मीडिया, के पास मुद्दों के लिए रोमांचक और आकर्षक नाम हैं और ए की रिहाई के लिए अति-महत्वपूर्ण लगता है भेद्यता। (एक भेद्यता उन्होंने एएमडी को ठीक करने के लिए 24 घंटे से भी कम समय दिया, मन!)

AMD प्रोसेसर, कंप्यूटर सुरक्षा

CTS लैब्स ने इसके लिए अपने तर्क भी दिए। सीटीएस लैब्स सीटीओ इलिया लुक-ज़िलबरमैन बताते हैं कि "ible रिस्पॉन्सिबल डिस्क्लोजर 'की वर्तमान संरचना बहुत गंभीर समस्या है।" इसके अलावा, वे "यह विश्वास करना कठिन है कि हम दुनिया के एकमात्र समूह हैं जिनके पास इन कमजोरियों को देखते हुए, यह देखते हुए कि दुनिया में आज कौन अभिनेता हैं।" आप कर सकते हैं पूरा पत्र यहीं पढ़ें [PDF]।

टी एल; डॉ: सीटीएस लैब्स का मानना ​​है कि 30/60/90 दिन की प्रतीक्षा अवधि पहले से ही कमजोर उपभोक्ताओं के लिए खतरे को बढ़ा देती है। अगर शोधकर्ता इस बात का खुलासा सीधे करते हैं, तो यह कंपनी के हाथ को तुरंत कार्य करने के लिए मजबूर करता है। वास्तव में, तीसरे पक्ष के सत्यापन का उपयोग करने का उनका सुझाव, जैसा कि सीटीएस लैब्स ने डैन गुइडो (जिसका पुष्टिकरण ट्वीट ऊपर लिंक किया गया है) के साथ किया, समझदार है - लेकिन कुछ ऐसा जो पहले से ही होता है।

शोर्टिंग AMD स्टॉक

अन्य शोधकर्ताओं ने सिस्टम पहुंच के आवश्यक स्तर के कारण खामियों की गंभीरता को कम कर दिया। रिपोर्ट के समय के बारे में और भी सवाल थे क्योंकि यह स्टॉक-सेलिंग फर्म वायसराय रिसर्च में उभरा एक रिपोर्ट जारी कर रहे थे यह घोषणा करते हुए कि एएमडी शेयर अपने सभी मूल्य खो सकते हैं। एएमडी के शेयरों ने वास्तव में एक उछाल लिया, जो सीटीएस लैब्स की भेद्यता रिपोर्ट जारी करने के साथ था, लेकिन दिन पहले की तुलना में अधिक बंद हो गया।

लिनक्स-कर्नेल लीड डेवलपर लिनुस टॉर्वाल्ड्स का यह भी मानना ​​है कि सीटीएस लैब्स का दृष्टिकोण लापरवाहीपूर्ण है, "हाँ, यह स्टॉक हेरफेर की तुलना में अधिक दिखता है मेरे लिए सुरक्षा सलाहकार। ” टॉर्वाल्ड्स ने रिलीज के आसपास के अनावश्यक प्रचार को भी खारिज कर दिया, यह दावा करते हुए कि सुरक्षा शोधकर्ता “क्योंकि जोकर की तरह दिखते हैं यह। "

टॉरवाल्ड्स रेंटिंग अभूतपूर्व नहीं है। लेकिन वह सही है। यह एक और "सुरक्षा चेतावनी" के पीछे भी आता है जिसमें काम करने के लिए एक भयानक एसएसएच और भयानक रूट पासवर्ड दोनों की आवश्यकता होती है। टॉर्वाल्ड्स (और अन्य सुरक्षा शोधकर्ताओं और डेवलपर्स) का कहना है कि कभी-कभी सिर्फ इसलिए कि एक दोष खतरनाक और विदेशी लगता है, यह आम जनता के लिए एक बड़ा मुद्दा नहीं बनता है।

क्या आप सुरक्षित रह सकते हैं?

खैर, यह एक मिश्रित सुरक्षा बैग है। क्या आपका AMD Ryzen CPU असुरक्षित है? हाँ यही है। क्या आपके AMD Ryzen CPU के इस तरीके का फायदा देखने की संभावना है? यह कुछ हद तक कम से कम अल्पावधि में होने की संभावना नहीं है।

कहा कि, AMD Ryzen सिस्टम के साथ उन लोगों को अगले कुछ हफ्तों के लिए अपनी सुरक्षा सतर्कता स्तर बढ़ाना चाहिए जब तक कि AMD एक सुरक्षा पैच जारी नहीं कर सकता। उम्मीद है, वे नहीं होंगे भूत / Meltdown पैच की तुलना में बेहतर दृश्य क्या स्पेक्टर और मेल्टडाउन स्टिल थ्रेट? पैच आप की जरूरत हैस्पेक्टर और मेल्टडाउन सीपीयू भेद्यता हैं। क्या हम इन कमजोरियों को ठीक करने के करीब हैं? क्या पैच वर्क किया है? अधिक पढ़ें !

गैविन MUO के लिए एक वरिष्ठ लेखक हैं। वह MakeUseOf की क्रिप्टो-केंद्रित बहन साइट, ब्लॉक डिकोड्ड के संपादक और एसईओ प्रबंधक भी हैं। उनके पास डेवन की पहाड़ियों से ली गई डिजिटल आर्ट प्रैक्टिस के साथ-साथ एक बीए (ऑनर्स) समकालीन लेखन है, साथ ही साथ पेशेवर लेखन अनुभव के एक दशक से अधिक है। वह चाय का प्रचुर मात्रा में आनंद लेते हैं।