'ঘোস্টরেস' স্পেকিউলেটিভ এক্সিকিউশন অ্যাটাক সমস্ত সিপিইউ, ওএস বিক্রেতাকে প্রভাবিত করে

'ঘোস্টরেস' স্পেকিউলেটিভ এক্সিকিউশন অ্যাটাক সমস্ত সিপিইউ, ওএস বিক্রেতাকে প্রভাবিত করে

সময় স্ট্যাম্প: 15 মার্চ, 2024 5:09 অপরাহ্ন
'ঘোস্টরেস' স্পেকিউলেটিভ এক্সিকিউশন অ্যাটাক সমস্ত সিপিইউ, ওএস ভেন্ডরদের প্লাটোব্লকচেন ডেটা ইন্টেলিজেন্সকে প্রভাবিত করে। উল্লম্ব অনুসন্ধান. আ.

আইবিএম এবং ভিইউ আমস্টারডামের গবেষকরা একটি নতুন আক্রমণ তৈরি করেছেন যা আধুনিক কম্পিউটার প্রসেসরগুলিতে অনুমানমূলক কার্যকরী প্রক্রিয়াকে কাজে লাগিয়ে অপারেটিং সিস্টেমে জাতিগত অবস্থা হিসাবে পরিচিত এর বিরুদ্ধে চেক বাইপাস করে।

আক্রমণটি একটি দুর্বলতা (CVE-2024-2193) লাভ করে যা গবেষকরা ইন্টেল, AMD, ARM এবং IBM প্রসেসরকে প্রভাবিত করে দেখেছেন। এটি যেকোন অপারেটিং সিস্টেম, হাইপারভাইজার এবং সফ্টওয়্যারের বিরুদ্ধে কাজ করে যা সিঙ্ক্রোনাইজেশন আদিম প্রয়োগ করে — বা জাতি অবস্থার বিরুদ্ধে সমন্বিত নিয়ন্ত্রণ। গবেষকরা তাদের আক্রমণকে "ঘোস্টরেস" বলে অভিহিত করেছেন এবং এই সপ্তাহে প্রকাশিত একটি প্রযুক্তিগত গবেষণাপত্রে এটি বর্ণনা করেছেন।

"আমাদের মূল অনুসন্ধান হল যে সমস্ত সাধারণ সিঙ্ক্রোনাইজেশন আদিমগুলিকে অনুমানমূলক পথে মাইক্রোআর্কিটেকচারালভাবে বাইপাস করা যেতে পারে, সমস্ত স্থাপত্যগতভাবে জাতি-মুক্ত সমালোচনামূলক অঞ্চলগুলিকে অনুমানমূলক রেস কন্ডিশনে (এসআরসি) পরিণত করে" গবেষকরা বলেছেন.

অনুমানমূলক মৃত্যুদন্ডের বাগগুলি যাচাই-বাছাই সত্ত্বেও অব্যাহত রয়েছে

একটি রেস অবস্থা, যেমন গবেষকরা তাদের গবেষণাপত্রে ব্যাখ্যা করেছেন, তখন দেখা দিতে পারে যখন দুই বা ততোধিক প্রক্রিয়া, বা থ্রেড, একটি শেয়ার্ড কম্পিউটিং রিসোর্স - যেমন মেমরি অবস্থান বা ফাইল - একই সময়ে অ্যাক্সেস করার চেষ্টা করে। এটি ডেটা দুর্নীতি এবং দুর্বলতার একটি অপেক্ষাকৃত সাধারণ কারণ যা মেমরি তথ্য ফাঁস, অননুমোদিত অ্যাক্সেস, পরিষেবা অস্বীকার এবং নিরাপত্তা বাইপাসের দিকে পরিচালিত করে।

সমস্যাটির বিরুদ্ধে প্রশমিত করার জন্য, অপারেটিং সিস্টেম বিক্রেতারা যা হিসাবে পরিচিত তা বাস্তবায়ন করেছে অনুমানমূলক আদিম তাদের সফ্টওয়্যারে যেগুলি ভাগ করা সংস্থানগুলিতে অ্যাক্সেস নিয়ন্ত্রণ এবং সিঙ্ক্রোনাইজ করে৷ আদিম, যেগুলি "মিউটেক্স" এবং "স্পিনলক" এর মতো নাম দিয়ে যায় তা নিশ্চিত করার জন্য কাজ করে যে শুধুমাত্র একটি থ্রেড একবারে একটি ভাগ করা সংস্থান অ্যাক্সেস বা সংশোধন করতে পারে।

আইবিএম এবং ভিইউ আমস্টারডামের গবেষকরা যা আবিষ্কার করেছিলেন তা হল আধুনিক প্রসেসরগুলিতে অনুমানমূলক কার্য সম্পাদন বা অর্ডারের বাইরের প্রক্রিয়াকরণ বৈশিষ্ট্যকে লক্ষ্য করে এই প্রক্রিয়াগুলিকে বাইপাস করার একটি উপায়। স্পেকুলেটিভ এক্সিকিউশনে মূলত একটি প্রসেসর জড়িত থাকে যা নির্দিষ্ট নির্দেশের ফলাফলের ভবিষ্যদ্বাণী করে এবং প্রাপ্ত ক্রম অনুসারে সেগুলি কার্যকর করার পরিবর্তে সময়ের আগে সেগুলি কার্যকর করে। লক্ষ্য হল পূর্ববর্তী নির্দেশাবলী থেকে ফলাফলের জন্য অপেক্ষা করার সময়ও প্রসেসরের পরবর্তী নির্দেশাবলীতে কাজ করার মাধ্যমে প্রক্রিয়াকরণের সময়কে দ্রুত করা।

2017 সালে যখন গবেষকরা কৌশলটি কাজে লাগানোর একটি উপায় আবিষ্কার করেন তখন অনুমানমূলক মৃত্যুদন্ড স্পটলাইটে ছড়িয়ে পড়ে সিস্টেম মেমরিতে সংবেদনশীল তথ্য অ্যাক্সেস করুন — যেমন পাসওয়ার্ড, এনক্রিপশন কী, এবং ইমেল — এবং আরও আক্রমণের জন্য সেই ডেটা ব্যবহার করুন। তথাকথিত স্পেকটার এবং মেল্টডাউন দুর্বলতাগুলি কার্যত প্রতিটি আধুনিক মাইক্রোপ্রসেসরকে প্রভাবিত করে এবং একটি মাইক্রোপ্রসেসর আর্কিটেকচারের পর্যালোচনা যে অনেক উপায়ে এখনও চলমান.

মাইক্রোপ্রসেসর ডিজাইনার এবং অন্যান্য স্টেকহোল্ডারদের স্পেকটার এবং মেল্টডাউনের মতো দুর্বলতার বিরুদ্ধে প্রসেসরকে আরও ভালভাবে সুরক্ষিত করতে সহায়তা করার প্রচেষ্টার অংশ হিসাবে, MITER ফেব্রুয়ারি 2024-এ চারটি নতুন সাধারণ দুর্বলতা গণনাকারী (CWE) চালু করেছে যা বিভিন্ন মাইক্রোপ্রসেসরের দুর্বলতা বর্ণনা এবং নথিভুক্ত করুন.

একটি পরিচিত শোষণ একটি নতুন স্পিন

আইবিএম এবং ভিইউ আমস্টারডামের গবেষকরা যে আক্রমণটি তৈরি করেছেন তা স্পেকটার আক্রমণের মতো শর্তসাপেক্ষ শাখা অনুমানের উপর নির্ভর করে। "আমাদের মূল অনুসন্ধান হল যে সমস্ত সাধারণ (লেখার দিক) আদিম (i) সুস্পষ্ট ক্রমিককরণের অভাব রয়েছে এবং (ii) একটি শর্তসাপেক্ষ শাখার সাথে জটিল অঞ্চলকে রক্ষা করে," গবেষকরা বলেছেন। অন্য কথায়, তারা দেখেছে যে যখন সিঙ্ক্রোনাইজেশন আদিমরা একটি ভাগ করা সংস্থানগুলিতে অ্যাক্সেস নিয়ন্ত্রণ করার জন্য একটি শর্তাধীন "যদি" বিবৃতি ব্যবহার করে, তখন তারা একটি অনুমানমূলক মৃত্যুদন্ড আক্রমণের ঝুঁকিতে থাকে।

"একটি প্রতিকূল অনুমানমূলক মৃত্যুদন্ড কার্যকর করার পরিবেশে, অর্থাৎ, একটি স্পেকটার আক্রমণকারী শর্তসাপেক্ষ শাখাকে ভুল করে, এই আদিমগুলি মূলত একটি নো-অপের মতো আচরণ করে," তারা উল্লেখ করেছে। "নিরাপত্তার প্রভাবগুলি তাৎপর্যপূর্ণ, কারণ একজন আক্রমণকারী কোনও সিঙ্ক্রোনাইজেশন ছাড়াই শিকার সফ্টওয়্যারের সমস্ত গুরুত্বপূর্ণ অঞ্চলকে অনুমানমূলকভাবে চালাতে পারে।"

একটি ব্লগ পোস্টে, গবেষকরা উল্লেখ করেছেন যে তারা তাদের আবিষ্কারের সমস্ত প্রধান হার্ডওয়্যার বিক্রেতাদের অবহিত করেছেন, এবং বিক্রেতারা, ফলস্বরূপ, সমস্ত প্রভাবিত অপারেটিং সিস্টেম এবং হাইপারভাইজার বিক্রেতাদের অবহিত করেছেন। সমস্ত বিক্রেতারা বিষয়টি স্বীকার করেছেন, গবেষকরা বলেছেন।

একটি পরামর্শে, AMD প্রস্তাবিত যে সফ্টওয়্যার বিকাশকারীরা এটি অনুসরণ করে পূর্বে প্রকাশিত নির্দেশিকা কিভাবে স্পেকটার ধরনের আক্রমণ থেকে রক্ষা করা যায়।

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া