एक सुरक्षा कंपनी क्वालकॉम में कई उच्च-गंभीरता कमजोरियों के समन्वित भेद्यता प्रकटीकरण का नेतृत्व कर रही है अजगर का चित्र चिपसेट।
कमजोरियों की पहचान यूनिफाइड एक्स्टेंसिबल फर्मवेयर इंटरफेस (यूईएफआई) फर्मवेयर संदर्भ कोड में की गई थी और एआरएम-आधारित लैपटॉप और क्वालकॉम स्नैपड्रैगन चिप्स का उपयोग करने वाले उपकरणों को प्रभावित करती है। बायनेरली रिसर्च के अनुसार.
क्वालकॉम ने कमजोरियों का खुलासा किया 5 जनवरी को उपलब्ध पैच के लिंक के साथ। लेनोवो ने एक बुलेटिन भी जारी किया है और प्रभावित लैपटॉप में खामियों को दूर करने के लिए एक BIOS अपडेट। हालाँकि, दो भेद्यताएँ अभी भी ठीक नहीं हुई हैं, Binarly ने नोट किया।
यदि शोषण किया जाता है, तो ये हार्डवेयर भेद्यता हमलावरों को गैर-वाष्पशील मेमोरी में एक चर को संशोधित करके सिस्टम पर नियंत्रण हासिल करने की अनुमति देती हैं, जो डेटा को स्थायी रूप से संग्रहीत करता है, भले ही सिस्टम बंद हो। Binarly के संस्थापक और मुख्य कार्यकारी अधिकारी एलेक्स मैट्रोसोव कहते हैं, संशोधित चर एक सिस्टम के सुरक्षित बूट चरण से समझौता करेगा, और एक हमलावर समझौता किए गए सिस्टम तक लगातार पहुंच प्राप्त कर सकता है।
"मूल रूप से, हमलावर ऑपरेटिंग सिस्टम स्तर से चर में हेरफेर कर सकता है," मैट्रोसोव कहते हैं।
फ़र्मवेयर की खामियां हमलों का दरवाज़ा खोलती हैं
सिक्योर बूट अधिकांश पीसी और सर्वर में तैनात एक सिस्टम है जो यह सुनिश्चित करता है कि डिवाइस ठीक से शुरू हो। यदि बूट प्रक्रिया या तो बायपास हो जाती है या उनके नियंत्रण में होती है, तो विरोधी सिस्टम का नियंत्रण अपने हाथ में ले सकते हैं। ऑपरेटिंग सिस्टम लोड होने से पहले वे दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं। फर्मवेयर भेद्यताएं एक दरवाजा खुला छोड़ने की तरह हैं - एक हमलावर सिस्टम संसाधनों तक पहुंच प्राप्त कर सकता है और जब वे कृपया सिस्टम चालू करते हैं, तो मैट्रोसोव कहते हैं।
Matrosov कहते हैं, "फर्मवेयर टुकड़ा महत्वपूर्ण है क्योंकि हमलावर बहुत ही रोचक दृढ़ता क्षमताओं को प्राप्त कर सकता है, इसलिए वे डिवाइस पर लंबी अवधि के लिए खेल सकते हैं।"
खामियां उल्लेखनीय हैं क्योंकि वे एआरएम आर्किटेक्चर पर आधारित प्रोसेसर को प्रभावित करती हैं, जिनका उपयोग पीसी, सर्वर और मोबाइल उपकरणों में किया जाता है। x86 चिप्स पर कई सुरक्षा समस्याओं का पता चला है इंटेल और एएमडी, लेकिन मैट्रोसोव ने कहा कि यह प्रकटीकरण एआरएम चिप डिजाइनों में मौजूद सुरक्षा खामियों का एक प्रारंभिक संकेतक है।
Matrosov कहते हैं, फर्मवेयर डेवलपर्स को सुरक्षा-पहले मानसिकता विकसित करने की आवश्यकता है। कई पीसी आज यूईएफआई फोरम द्वारा प्रदान की गई विशिष्टताओं के आधार पर बूट करते हैं, जो सॉफ्टवेयर और हार्डवेयर को इंटरैक्ट करने के लिए हुक प्रदान करता है।
"हमने पाया कि ओपनएसएसएल, जो यूईएफआई फर्मवेयर में उपयोग किया जाता है - यह एआरएम संस्करण में है - बहुत पुराना है। एक उदाहरण के रूप में, Infineon नामक प्रमुख टीपीएम प्रदाताओं में से एक, वे आठ वर्षीय ओपनएसएसएल संस्करण का उपयोग करते हैं," मैट्रोसोव कहते हैं।
प्रभावित प्रणालियों को संबोधित करना
अपने सुरक्षा बुलेटिन में, लेनोवो ने कहा कि भेद्यता ने थिंकपैड X13s लैपटॉप के BIOS को प्रभावित किया। BIOS अपडेट खामियों को दूर करता है।
Binarly ने एक शोध नोट में कहा कि Microsoft का Windows Dev Kit 2023, कोड-नाम प्रोजेक्ट Volterra भी भेद्यता से प्रभावित है। प्रोजेक्ट वोल्टेरा प्रोग्रामर्स के लिए विंडोज 11 ऑपरेटिंग सिस्टम के लिए कोड लिखने और परीक्षण करने के लिए डिज़ाइन किया गया है। Microsoft पारंपरिक x86 विंडोज डेवलपर्स को एआरएम सॉफ्टवेयर पारिस्थितिकी तंत्र में लुभाने के लिए प्रोजेक्ट वोल्टेरा डिवाइस का उपयोग कर रहा है, और डिवाइस की रिलीज पिछले साल माइक्रोसॉफ्ट के बिल्ड और एआरएम के देवसमिट सम्मेलनों में एक शीर्ष घोषणा थी।
RSI मेल्टडाउन और स्पेक्टर कमजोरियां सर्वर और पीसी इन्फ्रास्ट्रक्चर में बड़े पैमाने पर प्रभावित x86 चिप्स। लेकिन की खोज एआरएम की बूट परत में कमजोरियां विशेष रूप से संबंधित है क्योंकि वास्तुकला एक कम-शक्ति वाले मोबाइल पारिस्थितिकी तंत्र को चला रहा है, जिसमें शामिल हैं 5G स्मार्टफोन और बेस स्टेशन. एज डिवाइस और क्लाउड इंफ्रास्ट्रक्चर के लिए बेस स्टेशन तेजी से संचार के केंद्र में हैं। Matrosov कहते हैं, हमलावर ऑपरेटरों की तरह व्यवहार कर सकते हैं, और उनके पास बेस स्टेशनों पर दृढ़ता होगी और किसी को पता नहीं चलेगा।
वे कहते हैं कि सिस्टम प्रशासकों को अपनी कंपनी के लिए जोखिम को समझकर और इसे जल्दी से संबोधित करके पैचिंग फ़र्मवेयर की खामियों को प्राथमिकता देने की ज़रूरत है। बायनेरली ऑफर करता है फर्मवेयर कमजोरियों का पता लगाने के लिए ओपन सोर्स टूल्स.
"हर कंपनी के पास अपने उपकरणों पर फ़र्मवेयर फ़िक्सेस देने की नीतियां नहीं होती हैं। मैंने अतीत में बड़ी कंपनियों के लिए काम किया है, और इससे पहले कि मैं अपनी कंपनी शुरू करता, उनमें से कोई भी - यहां तक कि इन हार्डवेयर से संबंधित कंपनियों - के पास कर्मचारी लैपटॉप और उपकरणों पर फर्मवेयर अपडेट करने के लिए आंतरिक नीति नहीं थी। यह सही नहीं है," मैट्रोसोव कहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- पहुँच
- पता
- को संबोधित
- प्रशासकों
- को प्रभावित
- एलेक्स
- और
- घोषणा
- स्थापत्य
- एआरएम
- ध्यान
- उपलब्ध
- आधार
- आधारित
- मूल रूप से
- क्योंकि
- से पहले
- निर्माण
- बुलेटिन
- बुलाया
- क्षमताओं
- केंद्र
- मुख्य कार्यपालक अधिकारी
- टुकड़ा
- चिप्स
- बादल
- कोड
- संचार
- कंपनियों
- कंपनी
- समझौता
- छेड़छाड़ की गई
- सम्मेलनों
- नियंत्रण
- परम्परागत
- समन्वित
- सका
- तिथि
- उद्धार
- तैनात
- बनाया गया
- डिजाइन
- देव
- विकसित करना
- डेवलपर्स
- युक्ति
- डिवाइस
- प्रकटीकरण
- की खोज
- खोज
- द्वारा
- ड्राइविंग
- शीघ्र
- पारिस्थितिकी तंत्र
- Edge
- भी
- कर्मचारी
- सुनिश्चित
- और भी
- उदाहरण
- निष्पादित
- मौजूदा
- शोषण करना
- शोषित
- तय
- खामियां
- मंच
- पाया
- संस्थापक
- संस्थापक और कार्यकारी अधिकारी
- से
- लाभ
- हार्डवेयर
- कांटों
- तथापि
- एचटीएमएल
- HTTPS
- पहचान
- असर पड़ा
- Impacts
- महत्वपूर्ण
- in
- शामिल
- तेजी
- सूचक
- Infineon
- बुनियादी सुविधाओं
- बातचीत
- दिलचस्प
- इंटरफेस
- आंतरिक
- जारी किए गए
- IT
- जॉन
- जानना
- लैपटॉप
- लैपटॉप
- बड़ा
- बड़े पैमाने पर
- पिछली बार
- पिछले साल
- ताज़ा
- प्रमुख
- छोड़ने
- लेनोवो
- स्तर
- लिंक
- लंबा
- प्रमुख
- बहुत
- याद
- माइक्रोसॉफ्ट
- मानसिकता
- मोबाइल
- मोबाइल उपकरणों
- संशोधित
- अधिकांश
- विभिन्न
- आवश्यकता
- प्रसिद्ध
- विख्यात
- संख्या
- ऑफर
- ONE
- खुला
- openssl
- परिचालन
- ऑपरेटिंग सिस्टम
- ऑपरेटरों
- अपना
- विशेष रूप से
- अतीत
- पैच
- पैच
- PC
- पीसी
- हमेशा
- हठ
- चरण
- टुकड़ा
- जगह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्ले
- कृप्या अ
- नीतियाँ
- नीति
- प्राथमिकता
- समस्याओं
- प्रक्रिया
- प्रोसेसर
- प्रोग्रामर्स
- परियोजना
- अच्छी तरह
- बशर्ते
- प्रदाताओं
- प्रदान करता है
- जो भी
- क्वालकॉम स्नैपड्रैगन
- जल्दी से
- और
- अनुसंधान
- उपयुक्त संसाधन चुनें
- जोखिम
- कहा
- सुरक्षित
- सुरक्षा
- सर्वर
- smartphones के
- अजगर का चित्र
- So
- सॉफ्टवेयर
- स्रोत
- विनिर्देशों
- काली छाया
- प्रारंभ
- शुरू
- स्टेशनों
- फिर भी
- भंडार
- बंद कर
- प्रणाली
- सिस्टम
- लेना
- परीक्षण
- RSI
- लेकिन हाल ही
- सेवा मेरे
- आज
- उपकरण
- ऊपर का
- बदल गया
- के अंतर्गत
- समझ
- एकीकृत
- अपडेट
- उपयोग
- संस्करण
- कमजोरियों
- भेद्यता
- कौन कौन से
- मर्जी
- खिड़कियां
- विंडोज 11
- काम किया
- लिखना
- वर्ष
- जेफिरनेट