अपडेट 5:42 बजे ईटी: Apple ने आपके मैक को ज़ॉम्बीलोड से पूरी तरह से सुरक्षित रखने के लिए हाइपर-थ्रेडिंग को अक्षम करने के निर्देशों के साथ एक समर्थन पृष्ठ पोस्ट किया, लेकिन चेतावनी दी कि ऐसा करने से प्रदर्शन में 40% तक की कमी आ सकती है। अधिक जानकारी के लिए, सुविधा को अक्षम करने के तरीके के बारे में हमारी मार्गदर्शिका पढ़ें।
एक अच्छा मौका है कि आपका लैपटॉप इंटेल सीपीयू द्वारा संचालित है। यदि ऐसा है, तो आपको अपने कंप्यूटर को तुरंत अपडेट करने की आवश्यकता होगी, क्योंकि कमजोरियों के एक वर्ग का पता चला है जो हमलावरों को सीधे आपके प्रोसेसर से डेटा चोरी करने की अनुमति देता है।
तथाकथित ज़ोम्बीलोड बग और तीन संबंधित कमजोरियों का पता उन्हीं कुछ शोधकर्ताओं ने लगाया, जिन्होंने महत्वपूर्ण स्पेक्टर और मेल्टडाउन खामियों को सुर्खियों में लाया, और यह उन बगों के लिए कई समानताएं साझा करता है।
ज़ॉम्बीलोड और उसके रिश्तेदार 2011 के बाद से बनाए गए हर इंटेल प्रोसेसर को प्रभावित करते हैं, जिसका अर्थ है कि सभी मैकबुक, विंडोज पीसी का एक बड़ा बहुमत, अधिकांश लिनक्स सर्वर और यहां तक कि कई क्रोमबुक क्रॉसहेयर में हैं। क्लाउड में वर्चुअल मशीनों पर भी बग का उपयोग किया जा सकता है। लेकिन एएमडी और एआरएम चिप्स इन नवीनतम खामियों से प्रभावित नहीं दिखते।
क्रेडिट: इंटेल
इंटेल, जो खामियों के इस सेट को माइक्रोआर्किटेक्चरल डेटा सैम्पलिंग या एमडीएस कहता है, का कहना है कि चुनिंदा 8 वीं पीढ़ी और 9 वीं पीढ़ी के सीपीयू पहले से ही दोष से सुरक्षित हैं, और भविष्य के सभी सीपीयू में हार्डवेयर शमन शामिल होगा। (जिन शोधकर्ताओं ने खामियों की खोज की, वे इंटेल से असहमत हैं और जोर देते हैं कि वे चिप्स अभी भी प्रभावित हैं।)
इंटेल ने एक आधिकारिक बयान में कहा, "माइक्रोआर्किटेक्चरल डेटा सैंपलिंग (एमडीएस) को हमारे हाल के 8वीं और 9वीं पीढ़ी के इंटेल® कोर™ प्रोसेसरों के साथ-साथ दूसरी पीढ़ी के इंटेल® झियोन® स्केलेबल प्रोसेसर परिवार में पहले से ही हार्डवेयर स्तर पर संबोधित किया गया है।" .
हमले कैसे काम करते हैं
स्पेक्टर, मेल्टडाउन और कई अन्य खामियों की तरह, ये चार नए अलग-अलग हमले - जिन्हें ज़ोंबीलोड, फॉलआउट, आरआईडीएल और स्टोर-टू-लीक फॉरवर्डिंग कहा जाता है - "सट्टा निष्पादन" नामक व्यापक रूप से उपयोग की जाने वाली सुविधा में कमजोरियों का फायदा उठाते हैं, जिसका उपयोग किया जाता है एक प्रोसेसर को यह अनुमान लगाने में मदद करें कि प्रदर्शन को बेहतर बनाने के लिए किसी ऐप या प्रोग्राम को आगे क्या चाहिए।
प्रोसेसर अनुमान लगाता है, या अनुमान लगाने की कोशिश करता है कि निकट भविष्य में (यानी, अगले कुछ मिलीसेकंड) संचालन के लिए कौन से अनुरोध प्राप्त होंगे। जब अनुरोध वास्तव में किए जाते हैं तो समय बचाने के लिए अनुरोध किए जाने से पहले प्रोसेसर उन कार्यों को करता है, या निष्पादित करता है।
समस्या यह है कि वास्तव में जरूरत पड़ने से पहले ऑपरेशन करने से, सीपीयू उन ऑपरेशनों के परिणाम - यानी डेटा - को अपने अल्पकालिक मेमोरी कैश में डाल देते हैं। विभिन्न तरीकों से, स्पेक्टर, मेल्टडाउन और ये नवीनतम चार खामियां सभी हमलावरों को उस डेटा को सीधे प्रोसेसर मेमोरी कैश से पढ़ने की अनुमति देती हैं। यहां चार नए हमलों की तकनीकी खराबी है।
एक खतरनाक प्रूफ-ऑफ-कॉन्सेप्ट वीडियो दिखाता है कि कैसे ज़ोंबीलोड शोषण को यह देखने के लिए निष्पादित किया जा सकता है कि कोई व्यक्ति वास्तविक समय में कौन सी वेबसाइट देख रहा है। भेद्यताएं हमलावरों के लिए पासवर्ड, संवेदनशील दस्तावेज़ और एन्क्रिप्शन कुंजी को सीधे सीपीयू से पकड़ने के लिए दरवाजा खोलती हैं।
"यह उस तरह का है जैसे हम सीपीयू को घटकों के एक नेटवर्क के रूप में मानते हैं, और हम मूल रूप से उनके बीच के ट्रैफ़िक पर नज़र रखते हैं," व्रीजे यूनिवर्सिटिट एम्स्टर्डम के एक शोधकर्ता क्रिस्टियानो गिफ्रिडा, जो एमडीएस हमलों की खोज करने वाली टीमों का हिस्सा थे, ने वायर्ड को बताया। "हम कुछ भी सुनते हैं जो इन घटकों का आदान-प्रदान करते हैं।"
क्रेडिट: माइकल श्वार्ट्ज/ट्विटर
अभी अपडेट करें
कुछ अच्छी खबरें हैं। Intel, Apple, Google और Microsoft पहले ही खामियों को ठीक करने के लिए पैच जारी कर चुके हैं। तो लिनक्स वितरण के कई निर्माता हैं। लेकिन आप तब तक खतरे से बाहर नहीं हैं जब तक कि आप अपने सभी इंटेल-आधारित उपकरणों और उनके ऑपरेटिंग सिस्टम को अपडेट नहीं कर देते, जिसे हम तुरंत करने की दृढ़ता से अनुशंसा करते हैं। अपने मैक पर अपडेट की जांच करने के तरीके के बारे में हमारा गाइड पढ़ें या अपने विंडोज 10 पीसी को अपडेट करने के लिए इन चरणों का पालन करें।
इंटेल ने स्वीकार किया कि सबसे हालिया सुरक्षा पैच उपभोक्ता उपकरणों पर सीपीयू के प्रदर्शन को 3% तक और डेटा-सेंटर मशीनों पर 9% तक प्रभावित करेगा, और Google क्रोम में हाइपर-थ्रेडिंग (एक विधि जो प्रदर्शन को बढ़ाने के लिए कोर को विभाजित करता है) को अक्षम कर रहा है। सुरक्षा जोखिमों को कम करने के लिए ओएस 74। लेकिन ऐसा न होने दें कि आप मैन्युअल रूप से अपडेट को ज़बरदस्ती करने से रोकें।
ऐप्पल ने एक समर्थन पृष्ठ पोस्ट किया जिसमें बताया गया कि दोष को पूरी तरह से कम करने का एकमात्र तरीका हाइपर-थ्रेडिंग को अक्षम करना है, लेकिन ऐसा करने से, आप आंतरिक परीक्षण के अनुसार सिस्टम के प्रदर्शन को 40% तक कम करने का जोखिम उठाते हैं। अधिकांश लोगों को अपने कंप्यूटर की सुरक्षा के लिए इस तरह के अत्यधिक उपाय करने की आवश्यकता नहीं होगी, लेकिन कुछ जोखिम वाले उपयोगकर्ता, जैसे सरकारी कर्मचारी और व्यावसायिक अधिकारी, सावधानी बरतना चाहते हैं। यदि आप इन समूहों में आते हैं या अतिरिक्त आश्वासन चाहते हैं, तो macOS (Mojave, High Sierra और Sierra के लिए) पर हाइपर-थ्रेडिंग को अक्षम करने के तरीके के बारे में हमारी मार्गदर्शिका पढ़ें।
जमीनी स्तर
दुर्भाग्य से, शोधकर्ताओं का मानना है कि सट्टा निष्पादन से संबंधित कमजोरियां भविष्य में बहुत दूर तक बनी रहेंगी। हम केवल अपनी उंगलियों को पार कर सकते हैं कि इन खामियों को जल्दी से ठीक कर दिया गया है, लेकिन एक बार जब वे हो जाते हैं, तो यह सुनिश्चित करना आपके ऊपर है कि आपके सभी उपकरणों को नवीनतम, सबसे सुरक्षित संस्करणों में अपडेट किया गया है।
- मेल्टडाउन एंड स्पेक्टर: अपने पीसी, मैक और फोन की सुरक्षा कैसे करें
- एक टीपीएम क्या है? कैसे यह चिप आपके डेटा की सुरक्षा कर सकती है
- पब्लिक वाई-फाई पर सुरक्षित रहने के 9 टिप्स