आईबीएम और वीयू एम्स्टर्डम के शोधकर्ताओं ने एक नया हमला विकसित किया है जो आधुनिक कंप्यूटर प्रोसेसर में सट्टा निष्पादन तंत्र का फायदा उठाकर ऑपरेटिंग सिस्टम में दौड़ की स्थिति के खिलाफ जांच को बायपास करता है।
यह हमला एक भेद्यता (सीवीई-2024-2193) का लाभ उठाता है जिसे शोधकर्ताओं ने इंटेल, एएमडी, एआरएम और आईबीएम प्रोसेसर को प्रभावित करते हुए पाया है। यह किसी भी ऑपरेटिंग सिस्टम, हाइपरवाइज़र और सॉफ़्टवेयर के विरुद्ध काम करता है जो सिंक्रोनाइज़ेशन प्रिमिटिव - या दौड़ स्थितियों के विरुद्ध एकीकृत नियंत्रण लागू करता है। शोधकर्ताओं ने अपने हमले को "घोस्टरेस" नाम दिया है और इस सप्ताह जारी एक तकनीकी पेपर में इसका वर्णन किया है।
"हमारी मुख्य खोज यह है कि सभी सामान्य सिंक्रनाइज़ेशन प्राइमेटिव्स को सट्टा पथों पर माइक्रोआर्किटेक्चरल रूप से बाईपास किया जा सकता है, जिससे सभी वास्तुशिल्प रूप से दौड़-मुक्त महत्वपूर्ण क्षेत्रों को सट्टा दौड़ स्थितियों (एसआरसी) में बदल दिया जा सकता है," शोधकर्ताओं ने कहा.
सट्टा निष्पादन बग जांच के बावजूद बने रहते हैं
एक दौड़ की स्थिति, जैसा कि शोधकर्ता अपने पेपर में बताते हैं, तब उत्पन्न हो सकती है जब दो या दो से अधिक प्रक्रियाएं, या थ्रेड, एक ही समय में एक साझा कंप्यूटिंग संसाधन - जैसे मेमोरी स्थान या फ़ाइलें - तक पहुंचने का प्रयास करते हैं। यह डेटा भ्रष्टाचार और कमजोरियों का एक अपेक्षाकृत सामान्य कारण है जो मेमोरी जानकारी लीक, अनधिकृत पहुंच, सेवा से इनकार और सुरक्षा बाईपास का कारण बनता है।
समस्या को कम करने के लिए, ऑपरेटिंग सिस्टम विक्रेताओं ने जिसे जाना जाता है उसे लागू किया है सट्टा आदिम उनके सॉफ़्टवेयर में जो साझा संसाधनों तक पहुंच को नियंत्रित और सिंक्रनाइज़ करता है। प्रिमिटिव, जिन्हें "म्यूटेक्स" और "स्पिनलॉक" जैसे नामों से जाना जाता है, यह सुनिश्चित करने के लिए काम करते हैं कि एक समय में केवल एक थ्रेड किसी साझा संसाधन तक पहुंच या संशोधित कर सकता है।
आईबीएम और वीयू एम्स्टर्डम के शोधकर्ताओं ने जो खोजा वह आधुनिक प्रोसेसर में सट्टा निष्पादन या आउट-ऑफ-ऑर्डर प्रोसेसिंग सुविधा को लक्षित करके इन तंत्रों को बायपास करने का एक तरीका था। सट्टा निष्पादन में मूल रूप से एक प्रोसेसर शामिल होता है जो कुछ निर्देशों के परिणाम की भविष्यवाणी करता है और उन्हें प्राप्त क्रम में निष्पादित करने के बजाय समय से पहले निष्पादित करता है। लक्ष्य यह है कि प्रोसेसर पिछले निर्देशों के परिणाम की प्रतीक्षा करते हुए भी बाद के निर्देशों पर काम करके प्रसंस्करण समय को तेज कर दे।
सट्टा निष्पादन 2017 में तब सुर्खियों में आया जब शोधकर्ताओं ने तकनीक का फायदा उठाने का एक तरीका खोजा सिस्टम मेमोरी में संवेदनशील जानकारी तक पहुंचें - जैसे पासवर्ड, एन्क्रिप्शन कुंजी और ईमेल - और उस डेटा का उपयोग आगे के हमलों के लिए करें। तथाकथित स्पेक्टर और मेल्टडाउन कमजोरियों ने लगभग हर आधुनिक माइक्रोप्रोसेसर को प्रभावित किया और प्रेरित किया माइक्रोप्रोसेसर वास्तुकला की समीक्षा वह कई मायनों में अभी भी जारी है।
माइक्रोप्रोसेसर डिजाइनरों और अन्य हितधारकों को स्पेक्टर और मेल्टडाउन जैसी कमजोरियों के खिलाफ प्रोसेसर को बेहतर ढंग से सुरक्षित करने में मदद करने के प्रयास के तहत, फरवरी 2024 में एमआईटीईआर ने चार नए सामान्य कमजोरी गणनाकर्ता (सीडब्ल्यूई) शुरू किए जो विभिन्न माइक्रोप्रोसेसर कमजोरियों का वर्णन और दस्तावेजीकरण करें.
एक ज्ञात शोषण पर एक नया मोड़
आईबीएम और वीयू एम्स्टर्डम शोधकर्ताओं ने जो हमला विकसित किया है वह एक प्रकार के स्पेक्टर हमले के समान सशर्त शाखा अटकलों पर निर्भर करता है। शोधकर्ताओं ने कहा, "हमारी मुख्य खोज यह है कि सभी सामान्य (राइट-साइड) प्रिमिटिव (i) में स्पष्ट क्रमबद्धता का अभाव है और (ii) एक सशर्त शाखा के साथ महत्वपूर्ण क्षेत्र की रक्षा करते हैं।" दूसरे शब्दों में, उन्होंने पाया कि जब सिंक्रोनाइज़ेशन प्रिमिटिव साझा संसाधनों तक पहुंच को नियंत्रित करने के लिए एक सशर्त "अगर" कथन का उपयोग करते हैं, तो वे एक सट्टा निष्पादन हमले के प्रति संवेदनशील होते हैं।
"एक प्रतिकूल सट्टा निष्पादन वातावरण में, यानी, एक स्पेक्टर हमलावर द्वारा सशर्त शाखा को गलत तरीके से प्रशिक्षित करने के साथ, ये आदिम अनिवार्य रूप से एक नो-ऑप की तरह व्यवहार करते हैं," उन्होंने नोट किया। "सुरक्षा निहितार्थ महत्वपूर्ण हैं, क्योंकि एक हमलावर बिना किसी सिंक्रनाइज़ेशन के पीड़ित सॉफ़्टवेयर में सभी महत्वपूर्ण क्षेत्रों को अनुमानित रूप से निष्पादित कर सकता है।"
एक ब्लॉग पोस्ट मेंशोधकर्ताओं ने नोट किया कि उन्होंने अपनी खोज के बारे में सभी प्रमुख हार्डवेयर विक्रेताओं को सूचित कर दिया है, और बदले में, विक्रेताओं ने सभी प्रभावित ऑपरेटिंग सिस्टम और हाइपरवाइजर विक्रेताओं को सूचित कर दिया है। शोधकर्ताओं ने कहा, सभी विक्रेताओं ने इस मुद्दे को स्वीकार किया।
एक सलाह में, एएमडी ने सिफारिश की कि सॉफ्टवेयर डेवलपर इसका पालन करें पहले प्रकाशित मार्गदर्शन स्पेक्टर प्रकार के हमलों से बचाव कैसे करें।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cyber-risk/ghostrace-speculative-execution-attack-cpu-os-vendors
- :है
- $यूपी
- 2017
- 2024
- 7
- a
- पहुँच
- स्वीकृत
- विरोधात्मक
- सलाहकार
- लग जाना
- प्रभावित करने वाले
- के खिलाफ
- आगे
- सब
- एएमडी
- एम्सटर्डम
- an
- और
- कोई
- हैं
- उठता
- एआरएम
- AS
- At
- आक्रमण
- आक्रांता
- आक्रमण
- मूल रूप से
- BE
- बेहतर
- ब्लॉग
- शाखा
- कीड़े
- by
- उपमार्ग
- कर सकते हैं
- कारण
- कुछ
- जाँचता
- सामान्य
- कंप्यूटर
- कंप्यूटिंग
- शर्त
- स्थितियां
- नियंत्रण
- नियंत्रण
- भ्रष्टाचार
- महत्वपूर्ण
- तिथि
- सेवा से वंचित
- वर्णित
- डिजाइनरों
- के बावजूद
- विकसित
- डेवलपर्स
- विभिन्न
- की खोज
- खोज
- दस्तावेज़
- करार दिया
- e
- प्रयास
- ईमेल
- एन्क्रिप्शन
- सुनिश्चित
- वातावरण
- अनिवार्य
- और भी
- प्रत्येक
- निष्पादित
- को क्रियान्वित
- निष्पादन
- समझाना
- शोषण करना
- कारनामे
- Feature
- फरवरी
- फ़ाइलें
- खोज
- का पालन करें
- के लिए
- पाया
- चार
- से
- आगे
- Go
- लक्ष्य
- गार्ड
- हार्डवेयर
- है
- होने
- मदद
- कैसे
- How To
- एचटीएमएल
- HTTPS
- i
- आईबीएम
- if
- ii
- Impacts
- कार्यान्वित
- औजार
- निहितार्थ
- in
- अन्य में
- करें-
- सूचित
- बजाय
- निर्देश
- एकीकृत
- इंटेल
- में
- शामिल
- मुद्दा
- IT
- आईटी इस
- जेपीजी
- कुंजी
- Instagram पर
- जानने वाला
- रंग
- नेतृत्व
- लीक
- leverages
- पसंद
- स्थानों
- प्रमुख
- बहुत
- तंत्र
- मंदी
- याद
- कम करना
- आधुनिक
- संशोधित
- अधिक
- नामों
- नया
- नहीं
- विख्यात
- of
- on
- ONE
- चल रहे
- केवल
- परिचालन
- ऑपरेटिंग सिस्टम
- ऑपरेटिंग सिस्टम
- or
- आदेश
- OS
- अन्य
- हमारी
- आउट
- परिणाम
- काग़ज़
- भाग
- पासवर्ड
- पथ
- पीडीएफ
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- की भविष्यवाणी
- पिछला
- प्रक्रियाओं
- प्रसंस्करण
- प्रोसेसर
- प्रोसेसर
- रक्षा करना
- प्रकाशित
- दौड़
- प्राप्त
- क्षेत्र
- क्षेत्रों
- अपेक्षाकृत
- रिहा
- निर्भर करता है
- शोधकर्ताओं
- संसाधन
- उपयुक्त संसाधन चुनें
- परिणाम
- लुढ़का हुआ
- s
- कहा
- वही
- संवीक्षा
- सुरक्षित
- सुरक्षा
- संवेदनशील
- सेवा
- साझा
- महत्वपूर्ण
- समान
- सॉफ्टवेयर
- सॉफ्टवेयर डेवलपर्स
- काली छाया
- सट्टा
- काल्पनिक
- गति
- स्पिन
- सुर्ख़ियाँ
- हितधारकों
- कथन
- फिर भी
- आगामी
- ऐसा
- तुल्यकालन
- प्रणाली
- सिस्टम
- को लक्षित
- तकनीकी
- तकनीक
- कि
- RSI
- लेकिन हाल ही
- उन
- इन
- वे
- इसका
- इस सप्ताह
- पहर
- सेवा मेरे
- कोशिश
- मोड़
- मोड़
- दो
- टाइप
- अनधिकृत
- उपयोग
- विक्रेताओं
- शिकार
- वास्तव में
- कमजोरियों
- भेद्यता
- चपेट में
- इंतज़ार कर रही
- था
- मार्ग..
- तरीके
- दुर्बलता
- सप्ताह
- क्या
- कब
- कौन कौन से
- जब
- साथ में
- शब्द
- काम
- कार्य
- जेफिरनेट