नववर्ष की शुभकामना! इंटेल, एएमडी, एआरएम और अन्य प्रोसेसर में तीन बड़े सुरक्षा दोषों का बुधवार (3 जनवरी) को खुलासा किया गया। माइक्रोसॉफ्ट ने विंडोज 7, विंडोज 8.1 और विंडोज 10 सहित विंडोज के सभी समर्थित संस्करणों के लिए एक आपातकालीन पैच जारी किया, लेकिन यह भी जोड़ा कि उपयोगकर्ताओं को डिवाइस निर्माताओं से उपलब्ध होने पर फर्मवेयर अपडेट भी लागू करना चाहिए। Google ने मंगलवार (2 जनवरी) को जारी जनवरी२०२१-२०२२ अपडेट के साथ एंड्रॉइड में दोष को ठीक कर दिया, हालांकि अभी के लिए केवल Google-प्रबंधित उपकरणों के पास ही है। macOS, iOS और Linux के लिए पैच अभी पूरी तरह से उपलब्ध नहीं हो सकते हैं।
दो प्रूफ-ऑफ-कॉन्सेप्ट अटैक, जिन्हें "मेल्टडाउन" और "स्पेक्टर" कहा जाता है, इन तीन खामियों का फायदा उठाते हैं, जो आधुनिक कंप्यूटर प्रोसेसर के मौजूदा ऑपरेटिंग सिस्टम पर अनुप्रयोगों और कोर सिस्टम, या कर्नेल की चल रही मेमोरी को संभालने के तरीके से संबंधित हैं।
"मेल्टडाउन और स्पेक्टर व्यक्तिगत कंप्यूटर, मोबाइल उपकरणों और क्लाउड में काम करते हैं," प्रत्येक दोष के लिए समर्पित वेबसाइटें, जिनमें समान सामग्री होती है, कहते हैं। "क्लाउड प्रदाता के बुनियादी ढांचे के आधार पर, अन्य ग्राहकों से डेटा चोरी करना संभव हो सकता है।"
एक Google ब्लॉग पोस्टिंग ने समझाया कि खामियों ने इसे संभव बना दिया ताकि "एक अनधिकृत पार्टी सिस्टम की मेमोरी में संवेदनशील जानकारी जैसे पासवर्ड, एन्क्रिप्शन कुंजी, या अनुप्रयोगों में खुली संवेदनशील जानकारी पढ़ सके।"
मेल्टडाउन कर्नेल प्रक्रियाओं और उपयोगकर्ता प्रक्रियाओं के बीच की सीमाओं को मिटा देता है और लगता है कि यह इंटेल चिप्स तक ही सीमित है। स्पेक्टर चल रहे एप्लिकेशन से डेटा चुराता है और एएमडी और एआरएम चिप्स पर भी काम करता है। स्पेक्टर और मेल्टडाउन वेबसाइटों ने विस्तार से नहीं बताया कि मोबाइल उपकरणों पर उपयोग किए जाने वाले विभिन्न चिपसेट कैसे प्रभावित हुए।
हालांकि, एएमडी ने इनकार किया कि यह किसी भी दोष से प्रभावित था।
कंपनी ने सीएनबीसी से कहा, "एएमडी तीनों वेरिएंट के लिए अतिसंवेदनशील नहीं है।" "एएमडी की वास्तुकला में अंतर के कारण, हमारा मानना है कि इस समय एएमडी प्रोसेसर के लिए लगभग शून्य जोखिम है।"
क्या करें
यदि आप Windows 7, 8.1 या 10 का उपयोग करते हैं, तो आपको आज जारी किए गए Windows सुरक्षा अद्यतन को लागू करना चाहिए। पैच के शुरुआती संस्करण नवंबर और दिसंबर में विंडोज इनसाइडर यूजर्स को भेजे गए थे।
"हम क्लाउड सेवाओं के लिए मिटिगेशन को तैनात करने की प्रक्रिया में हैं और विंडोज ग्राहकों को एएमडी, एआरएम और इंटेल से समर्थित हार्डवेयर चिप्स को प्रभावित करने वाली कमजोरियों से बचाने के लिए आज सुरक्षा अपडेट जारी कर रहे हैं," हमें दिए गए एक Microsoft बयान में कहा गया है। "हमें यह इंगित करने के लिए कोई जानकारी नहीं मिली है कि इन कमजोरियों का इस्तेमाल हमारे ग्राहकों पर हमला करने के लिए किया गया था।"
हालांकि, कुछ कैच हैं। सबसे पहले, जब तक आप Microsoft-प्रावधानित लैपटॉप या टैबलेट जैसे सरफेस, सरफेस प्रो या सरफेस बुक नहीं चला रहे हैं, आपको अपने कंप्यूटर के निर्माता से फर्मवेयर अपडेट भी लागू करना होगा।
ऑनलाइन पोस्ट किए गए Microsoft समर्थन दस्तावेज़ में कहा गया है, "जो ग्राहक केवल Windows January2022-2023 सुरक्षा अद्यतन स्थापित करते हैं, उन्हें कमजोरियों के खिलाफ सभी ज्ञात सुरक्षा का लाभ नहीं मिलेगा।" "जनवरी सुरक्षा अद्यतनों को स्थापित करने के अलावा, एक प्रोसेसर माइक्रोकोड, या फर्मवेयर, अपडेट की आवश्यकता होती है। यह आपके डिवाइस निर्माता के माध्यम से उपलब्ध होना चाहिए। भूतल ग्राहकों को विंडोज अपडेट के माध्यम से एक माइक्रोकोड अपडेट प्राप्त होगा।"
दूसरा, Microsoft इस बात पर जोर दे रहा है कि ग्राहक सुनिश्चित करें कि पैच लगाने से पहले उनके पास "समर्थित" एंटीवायरस सॉफ़्टवेयर चल रहा है। नए सुरक्षा पैच की व्याख्या करते हुए एक अलग दस्तावेज़ में, Microsoft का कहना है कि केवल ऐसे सॉफ़्टवेयर चलाने वाली मशीनों को ही पैच स्वचालित रूप से मिल जाएगा।
यह स्पष्ट नहीं है कि "समर्थित" एंटीवायरस सॉफ़्टवेयर से Microsoft का क्या अर्थ है, या Microsoft इस बात पर जोर क्यों देता है कि पैच लागू होने से पहले ऐसा सॉफ़्टवेयर मशीन पर होना चाहिए। एक दस्तावेज़ का एक लिंक है जो यह सब समझाता है, लेकिन बुधवार की देर शाम इस लेखन के रूप में, लिंक कहीं नहीं गया।
अंत में, Microsoft स्वीकार करता है कि पैच से जुड़े "संभावित प्रदर्शन प्रभाव" हैं। दूसरे शब्दों में, पैच लगाने के बाद, आपकी मशीन अधिक धीमी गति से चल सकती है।
"अधिकांश उपभोक्ता उपकरणों के लिए, प्रभाव ध्यान देने योग्य नहीं हो सकता है," सलाहकार कहता है। "हालांकि, विशिष्ट प्रभाव हार्डवेयर उत्पादन और चिप निर्माता द्वारा कार्यान्वयन द्वारा भिन्न होता है।"
विंडोज अपडेट को मैन्युअल रूप से चलाने के लिए, स्टार्ट बटन पर क्लिक करें, सेटिंग्स गियर आइकन पर क्लिक करें, अपडेट एंड सिक्योरिटी पर क्लिक करें और अपडेट के लिए चेक पर क्लिक करें।
ऐप्पल उपयोगकर्ताओं को ऐप्पल आइकन पर क्लिक करके, ऐप स्टोर का चयन करके, अपडेट पर क्लिक करके और ऐप्पल से किसी भी आइटम के आगे अपडेट पर क्लिक करके भविष्य के अपडेट इंस्टॉल करना चाहिए। ट्विटर पर एक अपुष्ट रिपोर्ट थी कि ऐप्पल ने दिसंबर की शुरुआत में मैकोज़ 10.13.2 के साथ पहले ही खामियों को दूर कर दिया था, लेकिन दिसंबर ऐप्पल पैच में शामिल भेद्यता आईडी नंबर (सीवीई) मेलडाउन और स्पेक्टर को सौंपे गए लोगों से मेल नहीं खाते।
लिनक्स मशीनों को भी पैच की आवश्यकता होगी, और ऐसा प्रतीत होता है कि कुछ लगभग तैयार हो सकता है। जैसा कि ऊपर उल्लेख किया गया है, जनवरी२०२१-२०२२ एंड्रॉइड सुरक्षा पैच दोष को ठीक करता है, हालांकि अभी के लिए केवल कुछ प्रतिशत एंड्रॉइड डिवाइस ही इसे प्राप्त करेंगे। (यह स्पष्ट नहीं है कि कितने Android डिवाइस अतिसंवेदनशील हैं।)
हमले कैसे काम करते हैं
मेल्टडाउन हमला, जहां तक शोधकर्ताओं को पता है, केवल 1995 से विकसित इंटेल चिप्स को प्रभावित करता है (इटेनियम लाइन और 2013 से पूर्व एटम लाइन को छोड़कर), नियमित कार्यक्रमों को सिस्टम की जानकारी तक पहुंचने देता है जिसे संरक्षित किया जाना चाहिए। उस जानकारी को कर्नेल में संग्रहीत किया जाता है, जो कि सिस्टम का गहरा-भरा केंद्र है जिसे उपयोगकर्ता संचालन कभी भी पास जाने के लिए नहीं होता है।
मेल्टडाउन और स्पेक्टर वेबसाइटों ने समझाया, "मेल्टडाउन उपयोगकर्ता अनुप्रयोगों और ऑपरेटिंग सिस्टम के बीच सबसे मौलिक अलगाव को तोड़ता है।" "यह हमला एक प्रोग्राम को मेमोरी तक पहुंचने की अनुमति देता है, और इस प्रकार अन्य प्रोग्राम और ऑपरेटिंग सिस्टम के रहस्य भी।"
"यदि आपके कंप्यूटर में एक कमजोर प्रोसेसर है और एक बिना पैच वाला ऑपरेटिंग सिस्टम चलता है, तो जानकारी लीक होने की संभावना के बिना संवेदनशील जानकारी के साथ काम करना सुरक्षित नहीं है।"
मेल्टडाउन को इस तरह नामित किया गया था क्योंकि यह "मूल रूप से सुरक्षा सीमाओं को पिघला देता है जो आमतौर पर हार्डवेयर द्वारा लागू होते हैं।"
संबंधित दोष को ठीक करने के लिए, कर्नेल मेमोरी को उपयोगकर्ता प्रक्रियाओं से और भी अलग करने की आवश्यकता होगी, लेकिन एक पकड़ है। ऐसा प्रतीत होता है कि दोष आंशिक रूप से मौजूद है क्योंकि कर्नेल और उपयोगकर्ता प्रक्रियाओं के बीच मेमोरी का साझाकरण सिस्टम को अधिक तेज़ी से चलाने की अनुमति देता है, और उस साझाकरण को रोकने से CPU प्रदर्शन कम हो सकता है।
कुछ रिपोर्टों में कहा गया है कि फिक्स सिस्टम को 30 प्रतिशत तक धीमा कर सकते हैं। टॉम के हार्डवेयर में हमारे सहयोगियों को लगता है कि सिस्टम-प्रदर्शन प्रभाव बहुत छोटा होगा।
दूसरी ओर, स्पेक्टर सार्वभौमिक है और "विभिन्न अनुप्रयोगों के बीच अलगाव को तोड़ता है," वेबसाइटों ने कहा। "यह एक हमलावर को त्रुटि-मुक्त कार्यक्रमों को धोखा देने की अनुमति देता है, जो अपने रहस्यों को लीक करने में सर्वोत्तम प्रथाओं का पालन करते हैं। वास्तव में, उक्त सर्वोत्तम प्रथाओं की सुरक्षा जांच वास्तव में हमले की सतह को बढ़ाती है और अनुप्रयोगों को स्पेक्टर के लिए अधिक संवेदनशील बना सकती है।"
स्पेक्टर के लिए "उड़ान में कई निर्देश रखने में सक्षम सभी आधुनिक प्रोसेसर संभावित रूप से कमजोर हैं"। "विशेष रूप से, हमने इंटेल, एएमडी और एआरएम प्रोसेसर पर स्पेक्टर को सत्यापित किया है।"
साइटें बताती हैं कि इस तरह के हमलों का पता लगाना लगभग असंभव होगा, और यह कि एंटीवायरस सॉफ़्टवेयर केवल मैलवेयर का पता लगा सकता है जो हमलों को शुरू करने से पहले सिस्टम में प्रवेश करता है। वे कहते हैं कि मेल्टडाउन की तुलना में स्पेक्टर को खींचना अधिक कठिन है, लेकिन इस बात का कोई सबूत नहीं था कि "जंगली में" इसी तरह के हमले शुरू किए गए थे।
हालांकि, उन्होंने कहा कि स्पेक्टर, तथाकथित क्योंकि यह सट्टा निष्पादन का दुरुपयोग करता है, एक सामान्य चिपसेट प्रक्रिया, "हमें कुछ समय के लिए परेशान करेगी।"
गुप्त रखने की खोई हुई कला
इंटेल, एएमडी और एआरएम को Google द्वारा जून2022-2023 में इन खामियों के बारे में बताया गया था, और सभी शामिल पार्टियों ने इसे अगले सप्ताह पैच तैयार होने तक सभी को चुप रहने की कोशिश की। लेकिन सूचना-सुरक्षा विशेषज्ञ जो रहस्य में नहीं थे, वे बता सकते थे कि कुछ बड़ा आ रहा है।
लिनक्स विकास मंचों में चर्चा, ऑपरेटिंग सिस्टम के कर्नेल मेमोरी के संचालन में आमूल-चूल परिवर्तन से संबंधित है, फिर भी कोई विवरण प्रकट नहीं किया गया था। Microsoft, Amazon और Google ईमेल पते वाले लोग रहस्यमय तरीके से शामिल थे। असामान्य रूप से, ओवरहाल को लिनक्स के कई पुराने संस्करणों में वापस पोर्ट किया जाना था, यह दर्शाता है कि एक बड़ी सुरक्षा समस्या को ठीक किया जा रहा था।
इसने रेडिट और 4chan पर कुछ दिनों के षड्यंत्र के सिद्धांतों को जन्म दिया। सोमवार (1 जनवरी) को, एक ब्लॉगर ने खुद को पायथन स्वीटनेस कहते हुए "कनेक्टेड द इनविजिबल डॉट्स" को एक लंबी पोस्टिंग में विंडोज और लिनक्स डेवलपर्स के बीच कर्नेल मेमोरी को संभालने से संबंधित कई समानांतर विकासों का विवरण दिया।
देर मंगलवार (2 जनवरी)। रजिस्टर ने इसी तरह की बहुत सारी जानकारी एकत्र की। यह भी नोट किया गया कि अमेज़ॅन वेब सर्विसेज शुक्रवार की शाम (5 जनवरी) को अपने क्लाउड सर्वरों का रखरखाव और रीबूट कर रही होगी। और यह कि Microsoft के Azure Cloud ने 10 जनवरी के लिए कुछ इसी तरह की योजना बनाई थी।
बांध बुधवार को टूट गया जब एक डच सुरक्षा शोधकर्ता ने ट्वीट किया कि उसने एक प्रूफ-ऑफ-कॉन्सेप्ट बग बनाया है जो कम से कम एक दोष का फायदा उठाने के लिए प्रतीत होता है।
शाम 3 बजे। ईएसटी बुधवार, इंटेल, जिसने उस दिन के कारोबार में अपने स्टॉक में लगभग 10 प्रतिशत की गिरावट देखी थी, ने एक प्रेस विज्ञप्ति जारी की जिसमें खामियों को कम किया गया, और इसके स्टॉक ने तदनुसार कुछ जमीन हासिल की। लेकिन कंपनी ने स्वीकार किया कि खामियों का इस्तेमाल डेटा चोरी करने के लिए किया जा सकता है, और यह और अन्य चिप निर्माता समस्या को ठीक करने के लिए काम कर रहे थे।
बयान में कहा गया है, "इंटेल और अन्य विक्रेताओं ने अगले सप्ताह इस मुद्दे का खुलासा करने की योजना बनाई थी जब अधिक सॉफ्टवेयर और फर्मवेयर अपडेट उपलब्ध होंगे।" "हालांकि, वर्तमान गलत मीडिया रिपोर्टों के कारण इंटेल आज यह बयान दे रहा है।"
शाम 5 बजे, ऑस्ट्रिया में ग्राज़ के तकनीकी विश्वविद्यालय में सूचना सुरक्षा में डॉक्टरेट के बाद के छात्र डैनियल ग्रस, मेल्टडाउन और स्पेक्टर की घोषणा करने के लिए आगे आए। उन्होंने ZDNet के Zack Whittaker को बताया कि 1995 के बाद से Intel चिप्स पर आधारित "लगभग हर सिस्टम" खामियों से प्रभावित था। पता चला कि समस्या और भी विकट है।
ग्रस सात ग्राज़ शोधकर्ताओं में से एक थे, जिन्होंने अक्टूबर 2022-2023 में एक तकनीकी पेपर प्रकाशित किया था जिसमें लिनक्स ने कर्नेल मेमोरी को संभालने के तरीके में सैद्धांतिक खामियों का विवरण दिया था, और एक फिक्स का प्रस्ताव दिया था। इस कहानी की शुरुआत में जिस छद्म नाम के ब्लॉगर का उल्लेख किया गया है, पायथन स्वीटनेस, यह अनुमान लगाने में स्पष्ट रूप से सही था कि वह पेपर अब इंटेल की खामियों का केंद्र था जिस पर अभी काम किया जा रहा है।
शाम 6 बजे। ईएसटी, स्पेक्टर और मेल्टडाउन साइटें लाइव हो गईं, साथ ही एक Google ब्लॉग पोस्टिंग के साथ उस कंपनी के अपने शोध का विवरण दिया। यह पता चला कि दो टीमों ने स्वतंत्र रूप से मेल्टडाउन की खोज की थी, और तीन अलग-अलग टीमों ने एक साथ स्पेक्टर को पाया था। Google के प्रोजेक्ट ज़ीरो और ग्राज़ में ग्रस की टीम का हाथ दोनों में था।
छवि क्रेडिट: नताशा ईदल/सार्वजनिक डोमेन
- 12 कंप्यूटर सुरक्षा गलतियाँ जो आप शायद कर रहे हैं
- पीसी, मैक और एंड्रॉइड के लिए सर्वश्रेष्ठ एंटीवायरस सुरक्षा
- आपके राउटर की सुरक्षा बदबू: यहां बताया गया है कि इसे कैसे ठीक किया जाए