चेतावनी: क्रिटिकल सीपीयू फ्लेव अधिकांश कंप्यूटरों को प्रभावित करता है

यह 2018 का पहला सप्ताह है और हम पहले से ही इतिहास की सबसे बड़ी सुरक्षा खामियों के बारे में सुन रहे हैं.


समाचार दो कारनामों के बारे में सामने आया है - स्पेक्टर और मेल्टडाउन - जो पृथ्वी के लगभग हर कंप्यूटर को प्रभावित करते हैं। नई खुलासा कमजोरियां विनाशकारी हैं क्योंकि वे केंद्रीय प्रसंस्करण इकाइयों (सीपीयू) के अधिकांश हिस्से को प्रभावित करते हैं। इनमें न केवल इंटेल द्वारा निर्मित प्रोसेसर शामिल हैं - पृथ्वी पर सबसे बड़ा सीपीयू निर्माता - बल्कि अधिकांश सीपीयू निर्माता भी हैं.

सुरक्षा दोष की प्रकृति का अर्थ है कि एंड्रॉइड स्मार्टफोन और टैबलेट, आईपैड और आईफ़ोन, ऐप्पल मैक कंप्यूटर, विंडोज पीसी - और यहां तक ​​कि लिनक्स मशीन - का उपयोग करके खामियों का फायदा उठाया जा सकता है। सीपीयू की खामियों को साइबर अपराधियों द्वारा व्यक्तिगत डेटा चुराया जा सकता है जैसे कि लॉगिन, पासवर्ड, क्रेडिट कार्ड विवरण, और कई अन्य संवेदनशील डेटा।.

Google के प्रोजेक्ट ज़ीरो में काम करने वाले शोधकर्ताओं द्वारा भारी सुरक्षा खामियों की खोज की गई थी। महत्वपूर्ण विश्लेषण दुनिया भर के शैक्षणिक और उद्योग विशेषज्ञों के सहयोग से किया गया था। उन शोधकर्ताओं द्वारा इस सप्ताह प्रकाशित एक पेपर में दोनों सुरक्षा दोषों के बारे में विस्तार से बताया गया है:

“मेल्टडाउन और स्पेक्टर आधुनिक प्रोसेसर में महत्वपूर्ण कमजोरियों का फायदा उठाते हैं। ये हार्डवेयर बग प्रोग्राम को डेटा चोरी करने की अनुमति देते हैं जो वर्तमान में कंप्यूटर पर संसाधित होता है। जबकि कार्यक्रमों को आमतौर पर अन्य कार्यक्रमों के डेटा को पढ़ने की अनुमति नहीं होती है, एक दुर्भावनापूर्ण प्रोग्राम मेल्टडाउन और स्पेक्टर का उपयोग कर सकता है ताकि अन्य चल रहे कार्यक्रमों की स्मृति में संग्रहीत रहस्यों को पकड़ा जा सके।.

“इसमें पासवर्ड प्रबंधक या ब्राउज़र में संग्रहीत आपके पासवर्ड, आपकी व्यक्तिगत तस्वीरें, ईमेल, त्वरित संदेश और यहां तक ​​कि व्यावसायिक महत्वपूर्ण दस्तावेज़ शामिल हो सकते हैं.

“मेल्टडाउन और स्पेक्टर व्यक्तिगत कंप्यूटर, मोबाइल उपकरणों और क्लाउड में काम करते हैं। क्लाउड प्रदाता के बुनियादी ढांचे के आधार पर, अन्य ग्राहकों से डेटा चोरी करना संभव हो सकता है। ”

व्यापक भेद्यता

सुरक्षा दोष इंटेल, एएमडी और एआरएम द्वारा किए गए प्रोसेसर को प्रभावित करते हैं। इसका मतलब है कि वे वर्तमान में लगभग हर मशीन को प्रभावित करते हैं। क्या अधिक है, दोषों की प्रकृति का अर्थ है कि यह बताने का कोई तरीका नहीं है कि वे हो रहे हैं, या उनका शोषण किया गया है। चीजों को बदतर बनाने के लिए, एंटीवायरस और मैलवेयर डिटेक्टर इस प्रकार के कारनामों को लेने के लिए डिज़ाइन नहीं किए गए हैं। "सामान्य मैलवेयर के विपरीत, मेल्टडाउन और स्पेक्टर नियमित सौम्य अनुप्रयोगों से अलग करना मुश्किल है," ब्लॉग पोस्ट टिप्पणी करता है.

Apple Mac ने स्वीकार किया है कि Mac OS X डेस्कटॉप कंप्यूटर और लैपटॉप, iPhones, iPads और यहां तक ​​कि AppleTV डिवाइस भी असुरक्षित हैं। मेल्टडाउन के लिए पैच फर्म द्वारा पहले ही जारी किए जा चुके हैं। स्पेक्टर, हालांकि, के खिलाफ कम करने के लिए कठिन है और अभी तक पर्याप्त रूप से पैच नहीं किया गया है। शुक्र है, यह माना जाता है कि स्पेक्टर शोषण का एक कठिन लक्ष्य है.

ऐप्पल का दावा है कि जंगली में उनके उपकरणों पर हमला करने के लिए किसी भी कारनामे का पता नहीं चला है। हालांकि, कमजोरियों की प्रकृति इस बात की निश्चित रूप से पुष्टि करना कठिन बनाती है। इस समय हम सभी जानते हैं कि खामियां मौजूद हैं और उनका शोषण तब तक किया जा सकता है जब तक कि उन्हें पैच नहीं किया जाता है। कागज से:

“डेस्कटॉप, लैपटॉप और क्लाउड कंप्यूटर Meltdown से प्रभावित हो सकते हैं। अधिक तकनीकी रूप से, प्रत्येक इंटेल प्रोसेसर जो आउट-ऑफ-ऑर्डर निष्पादन को लागू करता है, संभावित रूप से प्रभावित होता है, जो 1995 के बाद से प्रभावी रूप से प्रत्येक प्रोसेसर है (2013 से पहले इंटेल इटेनियम और इंटेल एटम को छोड़कर)। हमने 2011 की शुरुआत में इंटेल प्रोसेसर की पीढ़ी पर मेल्टडाउन का सफलतापूर्वक परीक्षण किया। वर्तमान में, हमने केवल इंटेल प्रोसेसर पर मेलडाउन को सत्यापित किया है। फिलहाल, यह स्पष्ट नहीं है कि एआरएम और एएमडी प्रोसेसर भी मेल्टडाउन से प्रभावित हैं या नहीं। ”

“लगभग हर सिस्टम स्पेक्टर से प्रभावित होता है: डेस्कटॉप, लैपटॉप, क्लाउड सर्वर, साथ ही स्मार्टफ़ोन। अधिक विशेष रूप से, उड़ान में कई निर्देश रखने में सक्षम सभी आधुनिक प्रोसेसर संभावित रूप से असुरक्षित हैं। विशेष रूप से, हमने Intel, AMD और ARM प्रोसेसर पर स्पेक्टर को सत्यापित किया है। "

इंटेल का पंजा

धीमी कंप्यूटर?

दुःस्वप्न वहाँ भी समाप्त नहीं होता है, या तो मशीनों को संभावित कारनामों से बचाने के लिए सुरक्षा पैच जारी किए जा रहे हैं जिससे मशीनों के धीमे होने की उम्मीद है। यह स्पष्ट नहीं है कि प्रदर्शन में कमी क्या हो सकती है, लेकिन यह बताया जा रहा है कि यह वर्तमान गति से 30% की गिरावट के लिए कुछ भी हो सकता है। आनंदटेक डॉट कॉम के रायन स्मिथ बताते हैं:

"मेल्टडाउन को कम करने के बारे में बात करने के बाद, यह स्पष्ट नहीं है कि इसका पूर्ण प्रदर्शन प्रभाव क्या होगा। व्यक्तिगत संचालन और वर्कलोड संभावित रूप से 30% धीमी गति से ऊपर की ओर हो सकते हैं, लेकिन यह बहुत हद तक इस बात पर निर्भर करता है कि कार्य कितनी बार कर्नेल पर स्विच हो रहा है। मैं औसत वास्तविक दुनिया प्रभाव कम होने की उम्मीद करता हूं, विशेष रूप से डेस्कटॉप उपयोगकर्ताओं के लिए। हालाँकि, सर्वर उपयोगकर्ता और उनके अद्वितीय-लेकिन-संकीर्ण-केंद्रित वर्कलोड अधिक प्रभावित हो सकते हैं यदि वे विशेष रूप से अशुभ हों.

इस बीच, स्पेक्टर मिटिगेशन का प्रदर्शन प्रभाव और भी कम समझा जाता है, क्योंकि स्पेक्टर को कम करने के प्रयास जारी हैं। हार्डवेयर विक्रेताओं ने जो प्रकाशित किया है, उसके आधार पर, प्रभाव न्यूनतम होना चाहिए। लेकिन अनुभवजन्य परीक्षण की आवश्यकता के अलावा, यह बदल सकता है अगर स्पेक्टर को अधिक नाटकीय शमन प्रयासों की आवश्यकता हो."

चूंकि ये कमजोरियां पिछले 10 वर्षों में बेची गई प्रत्येक सीपीयू के बारे में प्रभावित करती हैं, एकमात्र समाधान यह प्रतीत होता है: या तो कंप्यूटिंग गति में कमी को स्वीकार करें या पुराने सीपीयू को नए के लिए बंद कर दें। अधिकांश लोगों के लिए - उन फर्मों सहित, जिनमें सैकड़ों मशीनें नहीं हैं, तो सैकड़ों - नए सीपीयू तत्काल विकल्प नहीं होंगे। इससे यह संभावना है कि हर किसी के बारे में बस किसी प्रकार के प्रदर्शन की उम्मीद की जा सकती है.

इंटेल के अनुसार, कोई भी मंदी "वर्कलोड-डिपेंडेंट" होगी। आम आदमी की शर्तों में, इसका मूल रूप से मतलब यह है कि स्काईलेक या नए आर्किटेक्चर पर आधारित नए चिपसेट संभवतः स्पीड लॉस से बहुत अधिक पीड़ित नहीं होंगे। दूसरी ओर, पुराने CPU को अतिरिक्त फ़र्मवेयर चलाने के लिए कठिन हिट होने की संभावना है.

कंप्यूटर को धीमा कर दें

यह कैसे काम करता है?

नए खुलासा हार्डवेयर दोष एप्लिकेशन और प्रोग्राम को संरक्षित कर्नेल मेमोरी क्षेत्रों की सामग्री की खोज करने की अनुमति देते हैं। इसका मतलब यह है कि हैकर्स गुप्त सूचनाओं के साथ आवेदन को मूर्ख बना सकते हैं। खामियों का उपयोग आभासी मशीनों पर हमला करने के लिए भी किया जा सकता है, जो जब प्रवेश किया हैकर मेजबान मशीन की भौतिक स्मृति तक पहुंच प्राप्त करने की अनुमति देता है.

महत्वपूर्ण खामियां भी हैकर्स एन्क्रिप्शन एन्क्रिप्शन चोरी करने की अनुमति दे सकती हैं, जो मेमोरी में भी संग्रहीत होती हैं। इसका मतलब है कि डेटा को सुरक्षित और सुरक्षित संदेश सेवा को बनाए रखने के लिए बनाई गई सेवाओं से समझौता किया जा सकता है। इसका यह भी अर्थ है कि पासवर्ड प्रबंधकों द्वारा रखी गई एन्क्रिप्शन कुंजी सुलभ हो सकती है जबकि कार्यक्रम खुला है और चाबियाँ अस्थायी रैम में संग्रहीत हैं.

वास्तव में, इन खामियों से उत्पन्न संभावित कमजोरियों की सूची - यदि अनियंत्रित छोड़ दी जाती है - लगभग अंतहीन है। बहुत दोषपूर्ण सीपीयू चिपसेट के साथ मशीनों पर चलने वाले किसी भी सॉफ्टवेयर से समझौता किया जा सकता है। केवल ऐसे ऐप्स जो मेमोरी के प्रभावित भागों में कुंजियों और पासवर्ड को सहेजते नहीं हैं, वे सुरक्षित हैं। यह इस कारण से है, कि दोषों को जल्दी से पैच करना इतना महत्वपूर्ण है.

हालांकि इंटेल, एएमडी और ऐप्पल ने दावा किया है कि वर्तमान में प्रचलन में कोई कारनामे नहीं हैं, यह संभावना से अधिक प्रतीत होता है कि हैकर्स जल्दी से लाभ लेना सीखेंगे। दान गुइदो, साइबरसिटी फर्म ट्रेल ऑफ बिट्स के मुख्य कार्यकारी हैं, यह आश्वस्त है कि इसमें लंबा समय नहीं लगेगा:

"इन बगों के लिए हैकर्स मानक टूलकिट में शामिल हो जाएंगे।"

स्पेक्टर हैकर

Google अपडेट

क्रोम सॉफ्टवेयर का सिर्फ एक उदाहरण है, जो इन भयानक खामियों का उपयोग करके हमला किया जा सकता है। क्रोमियम की एक ब्लॉग पोस्ट बताती है कि क्यों Google 23 जनवरी को क्रोम के लिए एक अपडेट जारी करेगा। इस बीच, उपयोगकर्ता साइट अलगाव नामक एक प्रयोगात्मक सुविधा का उपयोग करके अपनी सुरक्षा कर सकते हैं:

“इस शोध में उन उत्पादों और सेवाओं के लिए निहितार्थ हैं जो बाह्य रूप से आपूर्ति किए गए कोड को निष्पादित करते हैं, जिसमें क्रोम और अन्य ब्राउज़र शामिल हैं, जो जावास्क्रिप्ट और वेबवर्क के समर्थन के साथ हैं। Chrome ऑनलाइन सहित अन्य Google उत्पादों और सेवाओं के बारे में अधिक जानकारी Google ऑनलाइन सुरक्षा ब्लॉग पर उपलब्ध है.

क्रोम उपयोगकर्ताओं को साइट अलगाव नामक एक वैकल्पिक सुविधा को सक्षम करने की अनुमति देता है जो इन कमजोरियों के शोषण को कम करता है। साइट अलगाव सक्षम होने के साथ, सट्टा साइड-चैनल हमलों के संपर्क में आने वाले डेटा कम हो जाते हैं क्योंकि क्रोम एक अलग प्रक्रिया में प्रत्येक खुली वेबसाइट के लिए सामग्री प्रदान करता है। साइट अलगाव के बारे में अधिक पढ़ें, कुछ ज्ञात मुद्दों सहित, और इसे उद्यम नीतियों के माध्यम से या क्रोम: // झंडे के माध्यम से कैसे सक्षम किया जाए। ”

क्या मैं प्रभावित हूं?

क्या मैं प्रभावित हूं??

इस सवाल का जवाब लगभग निश्चित रूप से एक हाँ है। अधिकांश उपकरण प्रभावित होते हैं, इसलिए जैसे ही वे उपलब्ध होंगे, आपको उचित सुरक्षा पैच प्राप्त करने की आवश्यकता होगी। इस कारण से, यह संभावना है कि आपको इंटेल, एएमडी या एआरएम से अपडेट प्राप्त करने की आवश्यकता होगी, जो इस बात पर निर्भर करता है कि आपके डिवाइस में क्या चिप्स हैं। व्यक्तियों और व्यवसायों को समान रूप से अपने ऑपरेटिंग सिस्टम निर्माता से सलाह लेने की सलाह दी जाती है। विंडोज सर्वर वीएम के ग्राहकों को यहां Microsoft द्वारा जारी सलाह को देखना चाहिए.

क्या करें

आपके पास कौन से डिवाइस हैं, इसके आधार पर, आपको यह सुनिश्चित करने की आवश्यकता होगी कि आपको सभी नवीनतम सॉफ़्टवेयर अपडेट प्राप्त हों। सीपीयू निर्माता फर्मवेयर अपडेट जारी करने की प्रक्रिया में हैं, इसलिए, जैसा कि उल्लेख किया गया है, आपको जल्द से जल्द उन प्राप्त करना सुनिश्चित करना चाहिए.

Android उपयोगकर्ताओं को अपने उपकरणों को अपडेट करना होगा। अच्छी खबर यह है कि नवीनतम सुरक्षा अद्यतन वाले एंड्रॉइड डिवाइस सुरक्षित हैं। हालांकि, यह संभावना है कि आगे के अपडेट आवश्यक होंगे: इसलिए पैच के लिए एक आंख खुली रखें और जैसे ही वे उपलब्ध हों, उन्हें स्वीकार करें.

यदि आपने नवीनतम iOS 11.2 संस्करण स्थापित किया है, तो आपको संरक्षित किया जाना चाहिए। ओएस एक्स में मेल्टडाउन के लिए पैच भी हैं और स्पेक्टर के लिए और भी जल्द ही आने की उम्मीद है। इसके अलावा, Apple ने कल घोषणा की है कि: "आने वाले दिनों में हम स्पेक्टर के खिलाफ बचाव में मदद के लिए सफारी में मितव्ययिता को जारी करने की योजना बनाते हैं।.

अपडेट करें

मोज़िला ने पहले ही फ़ायरफ़ॉक्स के लिए दो निकट अवधि के फ़िक्सेस जारी किए हैं और उम्मीद है कि जनवरी में बाद में और पैच जारी किए जाएंगे। विंडोज 10 उपयोगकर्ता आज (5 जनवरी) से स्वचालित अपडेट की उम्मीद कर सकते हैं, विंडोज 7 और 8 के साथ अगले मंगलवार को अपडेट प्राप्त करने की उम्मीद है। यह अभी तक स्पष्ट नहीं है कि विंडोज एक्सपी उपयोगकर्ताओं को एक पैच मिलेगा (जैसा कि पिछले साल के मिरी प्रकोप के दौरान मामला था).

अंत में, क्योंकि ये कार्न कर्नेल-लेवल एक्सेस से संबंधित हैं, एंटीवायरस और मैलवेयर सॉफ़्टवेयर डेवलपर्स को नए पैच के साथ काम करने के लिए अपने पुस्तकालयों को अपडेट करने की भी आवश्यकता हो सकती है। इस कारण से, आपको अपने एंटीवायरस सॉफ़्टवेयर को अपडेट करने की भी आवश्यकता हो सकती है.

याद रखें: यह खबर केवल घोषित की गई है, इसलिए सबसे अच्छी बात यह है कि अपने आप को सूचित रखें क्योंकि आपके विशेष मंच के बारे में अधिक जानकारी उपलब्ध है। यदि संदेह है, तो अपने निर्माता या अपने विशेष उपकरणों के लिए बिक्री के बिंदु से संपर्क करें.

शीर्षक छवि क्रेडिट: स्पेक्टर और मेल्टडाउन ब्लॉग से.

छवि क्रेडिट: ouh_desire / Shutterstock.com, Nor Gal / Shutt पशुधन.com, Kite_rin / Shutterstock.com, welcomia / Shutterstock.com, yavyav / Shutterstock.com, Pavel इग्नाटोव / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me