IBM اور VU ایمسٹرڈیم کے محققین نے ایک نیا حملہ تیار کیا ہے جو جدید کمپیوٹر پروسیسرز میں قیاس آرائی پر عملدرآمد کے طریقہ کار سے فائدہ اٹھاتا ہے تاکہ آپریٹنگ سسٹم میں چیک کو نظرانداز کیا جا سکے جسے ریس کے حالات کہا جاتا ہے۔
حملہ ایک کمزوری (CVE-2024-2193) کا فائدہ اٹھاتا ہے جسے محققین نے Intel، AMD، ARM، اور IBM پروسیسرز کو متاثر کرتے ہوئے پایا۔ یہ کسی بھی آپریٹنگ سسٹم، ہائپر وائزر، اور سافٹ ویئر کے خلاف کام کرتا ہے جو ہم وقت سازی کے پرائمیٹوز — یا نسل کے حالات کے خلاف مربوط کنٹرول کو نافذ کرتا ہے۔ محققین نے اپنے حملے کو "GhostRace" کا نام دیا ہے اور اسے اس ہفتے جاری ہونے والے ایک تکنیکی مقالے میں بیان کیا ہے۔
"ہماری کلیدی تلاش یہ ہے کہ ہم آہنگی کے تمام مشترکہ پرائمیٹوز کو مائیکرو آرکیٹیکچرل طور پر قیاس آرائی کے راستوں پر نظرانداز کیا جا سکتا ہے، جس سے تمام آرکیٹیکچرل طور پر نسل سے پاک نازک خطوں کو قیاس آرائی پر مبنی نسل کے حالات (SRCs) میں تبدیل کیا جا سکتا ہے۔" محققین نے کہا.
جانچ پڑتال کے باوجود قیاس آرائی پر عملدرآمد کی خرابیاں برقرار ہیں۔
ریس کی حالت، جیسا کہ محققین اپنے مقالے میں بیان کرتے ہیں، اس وقت پیدا ہو سکتی ہے جب ایک ہی وقت میں دو یا دو سے زیادہ عمل، یا تھریڈز، مشترکہ کمپیوٹنگ وسائل تک رسائی حاصل کرنے کی کوشش کرتے ہیں - جیسے میموری کے مقامات یا فائلز۔ ڈیٹا کی بدعنوانی اور کمزوریوں کی یہ نسبتاً عام وجہ ہے جو میموری کی معلومات کے لیک ہونے، غیر مجاز رسائی، سروس سے انکار، اور سیکیورٹی بائی پاس کا باعث بنتی ہے۔
اس مسئلے کو کم کرنے کے لیے، آپریٹنگ سسٹم فروشوں نے اسے نافذ کیا ہے جسے کہا جاتا ہے۔ قیاس آرائی پر مبنی ابتدائی باتیں ان کے سافٹ ویئر میں جو مشترکہ وسائل تک رسائی کو کنٹرول اور مطابقت پذیر بناتا ہے۔ پرائمیٹوز، جو کہ "میوٹیکس" اور "اسپن لاک" کے ناموں سے جاتے ہیں، اس بات کو یقینی بنانے کے لیے کام کرتے ہیں کہ ایک وقت میں صرف ایک دھاگہ مشترکہ وسائل تک رسائی یا اس میں ترمیم کر سکتا ہے۔
IBM اور VU Amsterdam کے محققین نے جو کچھ دریافت کیا وہ جدید پروسیسرز میں قیاس آرائی پر عمل درآمد یا آؤٹ آف آرڈر پروسیسنگ کی خصوصیت کو نشانہ بنا کر ان میکانزم کو نظرانداز کرنے کا ایک طریقہ تھا۔ قیاس آرائی پر عمل درآمد میں بنیادی طور پر ایک پروسیسر شامل ہوتا ہے جو کچھ ہدایات کے نتائج کی پیش گوئی کرتا ہے اور موصول ہونے والی ترتیب میں ان پر عمل درآمد کرنے کے بجائے وقت سے پہلے ان پر عمل درآمد کرتا ہے۔ مقصد یہ ہے کہ پچھلی ہدایات کے نتیجے کا انتظار کرتے ہوئے بھی پروسیسر کو بعد کی ہدایات پر کام کر کے پروسیسنگ کے وقت کو تیز کرنا ہے۔
قیاس آرائی پر عملدرآمد 2017 میں اس وقت روشنی میں آیا جب محققین نے اس تکنیک سے فائدہ اٹھانے کا ایک طریقہ دریافت کیا۔ سسٹم میموری میں حساس معلومات تک رسائی حاصل کریں۔ — جیسے پاس ورڈز، انکرپشن کیز، اور ای میلز — اور اس ڈیٹا کو مزید حملوں کے لیے استعمال کریں۔ نام نہاد سپیکٹر اور میلٹ ڈاؤن کمزوریوں نے عملی طور پر ہر جدید مائکرو پروسیسر کو متاثر کیا اور ایک مائکرو پروسیسر فن تعمیر کا جائزہ جو کئی طریقوں سے اب بھی جاری ہے۔
مائیکرو پروسیسر ڈیزائنرز اور دیگر اسٹیک ہولڈرز کو اسپیکٹر اور میلٹ ڈاؤن جیسی کمزوریوں کے خلاف پروسیسرز کو بہتر طور پر محفوظ بنانے میں مدد کرنے کی کوشش کے ایک حصے کے طور پر، MITER نے فروری 2024 میں چار نئے عام کمزوری شمار کنندگان (CWE) کو متعارف کرایا جو مائکرو پروسیسر کی مختلف کمزوریوں کو بیان اور دستاویز کریں۔.
معروف استحصال پر ایک نیا اسپن
IBM اور VU ایمسٹرڈیم کے محققین نے جو حملہ تیار کیا ہے وہ سپیکٹر حملے کی ایک قسم کی طرح مشروط شاخ کی قیاس آرائیوں پر انحصار کرتا ہے۔ محققین نے کہا، "ہماری کلیدی تلاش یہ ہے کہ تمام مشترکہ (لکھنے کی طرف) قدیم (i) واضح سیریلائزیشن کا فقدان ہے اور (ii) ایک مشروط شاخ کے ساتھ نازک خطے کی حفاظت کرتے ہیں،" محققین نے کہا۔ دوسرے لفظوں میں، انہوں نے پایا کہ جب ہم آہنگی کے پرائمیٹوز مشترکہ وسائل تک رسائی کو کنٹرول کرنے کے لیے مشروط "اگر" بیان استعمال کرتے ہیں، تو وہ قیاس آرائی پر عمل درآمد کے حملے کا شکار ہوتے ہیں۔
"مخالف قیاس آرائی پر عمل درآمد کے ماحول میں، یعنی، ایک سپیکٹر حملہ آور کے ساتھ مشروط شاخ کو غلط سمجھا جاتا ہے، یہ پرائمیٹو بنیادی طور پر ایک غیر آپشن کی طرح برتاؤ کرتے ہیں،" انہوں نے نوٹ کیا۔ "سیکیورٹی کے مضمرات اہم ہیں، کیونکہ حملہ آور شکار سافٹ ویئر کے تمام اہم علاقوں کو بغیر کسی مطابقت پذیری کے قیاس آرائی کے ساتھ انجام دے سکتا ہے۔"
بلاگ پوسٹ میں، محققین نے نوٹ کیا کہ انہوں نے تمام بڑے ہارڈ ویئر فروشوں کو اپنی دریافت کے بارے میں مطلع کر دیا ہے، اور دکانداروں نے بدلے میں، تمام متاثرہ آپریٹنگ سسٹم اور ہائپر وائزر فروشوں کو مطلع کر دیا ہے۔ محققین نے کہا کہ تمام دکانداروں نے اس مسئلے کو تسلیم کیا۔
ایک ایڈوائزری میں، AMD کی سفارش کی گئی۔ کہ سافٹ ویئر ڈویلپر اس کی پیروی کرتے ہیں۔ پہلے شائع شدہ رہنمائی سپیکٹر قسم کے حملوں سے کیسے بچایا جائے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyber-risk/ghostrace-speculative-execution-attack-cpu-os-vendors
- : ہے
- $UP
- 2017
- 2024
- 7
- a
- تک رسائی حاصل
- کا اعتراف
- شکست
- مشاورتی
- متاثر
- کو متاثر
- کے خلاف
- آگے
- تمام
- AMD
- ایمسٹرڈیم
- an
- اور
- کوئی بھی
- کیا
- اٹھتا
- بازو
- AS
- At
- حملہ
- حملہ آور
- حملے
- بنیادی طور پر
- BE
- بہتر
- بلاگ
- برانچ
- کیڑوں
- by
- بائی پاس
- کر سکتے ہیں
- کیونکہ
- کچھ
- چیک
- کامن
- کمپیوٹر
- کمپیوٹنگ
- شرط
- حالات
- کنٹرول
- کنٹرول
- فساد
- اہم
- اعداد و شمار
- سروس کا انکار
- بیان کیا
- ڈیزائنرز
- کے باوجود
- ترقی یافتہ
- ڈویلپرز
- مختلف
- دریافت
- دریافت
- دستاویز
- ڈوب
- e
- کوشش
- ای میل
- خفیہ کاری
- کو یقینی بنانے کے
- ماحولیات
- بنیادی طور پر
- بھی
- ہر کوئی
- عملدرآمد
- پھانسی
- پھانسی
- وضاحت
- دھماکہ
- استحصال
- نمایاں کریں
- فروری
- فائلوں
- تلاش
- پر عمل کریں
- کے لئے
- ملا
- چار
- سے
- مزید
- Go
- مقصد
- گارڈ
- ہارڈ ویئر
- ہے
- ہونے
- مدد
- کس طرح
- کیسے
- HTML
- HTTPS
- i
- IBM
- if
- ii
- اثرات
- عملدرآمد
- عمل
- اثرات
- in
- دیگر میں
- معلومات
- مطلع
- کے بجائے
- ہدایات
- ضم
- انٹیل
- میں
- شامل ہے
- مسئلہ
- IT
- میں
- فوٹو
- کلیدی
- چابیاں
- جانا جاتا ہے
- نہیں
- قیادت
- لیک
- لیتا ہے
- کی طرح
- مقامات
- اہم
- بہت سے
- نظام
- تباہی
- یاد داشت
- تخفیف کریں
- جدید
- نظر ثانی کرنے
- زیادہ
- نام
- نئی
- نہیں
- کا کہنا
- of
- on
- ایک
- جاری
- صرف
- کام
- آپریٹنگ سسٹم
- آپریٹنگ سسٹم
- or
- حکم
- OS
- دیگر
- ہمارے
- باہر
- نتائج
- کاغذ.
- حصہ
- پاس ورڈز
- راستے
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پیش گوئی
- پچھلا
- عمل
- پروسیسنگ
- پروسیسر
- پروسیسرز
- حفاظت
- شائع
- ریس
- موصول
- خطے
- خطوں
- نسبتا
- جاری
- انحصار کرتا ہے
- محققین
- وسائل
- وسائل
- نتیجہ
- رولڈ
- s
- کہا
- اسی
- جانچ پڑتال کے
- محفوظ بنانے
- سیکورٹی
- حساس
- سروس
- مشترکہ
- اہم
- اسی طرح
- سافٹ ویئر کی
- سافٹ ویئر ڈویلپرز
- اسپیکٹرم
- قیاس
- نمائش
- تیزی
- سپن
- کے لئے نشان راہ
- اسٹیک ہولڈرز
- بیان
- ابھی تک
- بعد میں
- اس طرح
- ہم آہنگی
- کے نظام
- سسٹمز
- ھدف بندی
- ٹیکنیکل
- تکنیک
- کہ
- ۔
- ان
- ان
- یہ
- وہ
- اس
- اس ہفتے
- وقت
- کرنے کے لئے
- کوشش
- ٹرن
- ٹرننگ
- دو
- قسم
- غیر مجاز
- استعمال کی شرائط
- دکانداروں
- وکٹم
- بنیادی طور پر
- نقصان دہ
- خطرے کا سامنا
- قابل اطلاق
- انتظار کر رہا ہے
- تھا
- راستہ..
- طریقوں
- کمزوری
- ہفتے
- کیا
- جب
- جس
- جبکہ
- ساتھ
- الفاظ
- کام
- کام کرتا ہے
- زیفیرنیٹ
