ایک سیکیورٹی کمپنی Qualcomm میں متعدد اعلی شدت والے خطرات کے مربوط خطرے کے انکشاف کی رہنمائی کر رہی ہے۔ سنیپ ڈریگن چپس
کمزوریوں کی شناخت یونیفائیڈ ایکسٹینسیبل فرم ویئر انٹرفیس (UEFI) فرم ویئر ریفرنس کوڈ میں کی گئی تھی اور Qualcomm Snapdragon چپس کا استعمال کرتے ہوئے ARM پر مبنی لیپ ٹاپس اور آلات کو متاثر کرتی ہے، Binarly ریسرچ کے مطابق.
Qualcomm نے کمزوریوں کا انکشاف کیا۔ 5 جنوری کو، دستیاب پیچ کے لنکس کے ساتھ۔ لینووو نے ایک بلیٹن بھی جاری کیا ہے۔ اور متاثرہ لیپ ٹاپس میں خامیوں کو دور کرنے کے لیے BIOS اپ ڈیٹ۔ تاہم، دو خطرات ابھی تک طے نہیں ہوئے ہیں، بِنارلی نے نوٹ کیا۔
اگر استحصال کیا جاتا ہے، تو یہ ہارڈ ویئر کی کمزوریاں حملہ آوروں کو غیر اتار چڑھاؤ والے میموری میں ایک متغیر کو تبدیل کرکے سسٹم پر کنٹرول حاصل کرنے کی اجازت دیتی ہیں، جو ڈیٹا کو مستقل طور پر ذخیرہ کرتا ہے، یہاں تک کہ جب کوئی سسٹم آف ہو جائے۔ بِنارلی کے بانی اور سی ای او، الیکس ماتروسوف کا کہنا ہے کہ ترمیم شدہ متغیر کسی سسٹم کے محفوظ بوٹ فیز سے سمجھوتہ کرے گا، اور ایک حملہ آور استحصال کرنے کے بعد کمپرومائزڈ سسٹمز تک مستقل رسائی حاصل کر سکتا ہے۔
"بنیادی طور پر، حملہ آور آپریٹنگ سسٹم کی سطح سے متغیرات کو جوڑ سکتا ہے،" ماتروسوف کہتے ہیں۔
فرم ویئر کی خامیاں حملوں کا دروازہ کھولتی ہیں۔
سیکیور بوٹ ایک ایسا نظام ہے جو زیادہ تر PCs اور سرورز میں تعینات کیا جاتا ہے تاکہ یہ یقینی بنایا جا سکے کہ آلات صحیح طریقے سے شروع ہوں۔ مخالفین سسٹم کا کنٹرول سنبھال سکتے ہیں اگر بوٹ کے عمل کو نظرانداز کیا جائے یا ان کے کنٹرول میں ہو۔ آپریٹنگ سسٹم کے لوڈ ہونے سے پہلے وہ بدنیتی پر مبنی کوڈ پر عمل درآمد کر سکتے ہیں۔ متروسوف کا کہنا ہے کہ فرم ویئر کی کمزوریاں دروازے کو کھلا چھوڑنے کے مترادف ہیں۔
متروسوف کا کہنا ہے کہ "فرم ویئر کا ٹکڑا اہم ہے کیونکہ حملہ آور بہت، بہت دلچسپ استقامت کی صلاحیتیں حاصل کر سکتا ہے، اس لیے وہ ڈیوائس پر طویل مدت تک کھیل سکتا ہے۔"
خامیاں قابل ذکر ہیں کیونکہ وہ ARM فن تعمیر پر مبنی پروسیسرز کو متاثر کرتی ہیں، جو PCs، سرورز اور موبائل آلات میں استعمال ہوتے ہیں۔ سے x86 چپس پر سیکیورٹی کے متعدد مسائل دریافت ہوئے ہیں۔ انٹیل اور AMD، لیکن متروسوف نے نوٹ کیا کہ یہ انکشاف ARM چپ ڈیزائن میں موجود حفاظتی خامیوں کا ابتدائی اشارہ ہے۔
Matrosov کا کہنا ہے کہ فرم ویئر کے ڈویلپرز کو پہلے حفاظتی ذہنیت تیار کرنے کی ضرورت ہے۔ آج بہت سے PCs UEFI فورم کی فراہم کردہ تصریحات کی بنیاد پر بوٹ کرتے ہیں، جو سافٹ ویئر اور ہارڈ ویئر کو بات چیت کرنے کے لیے ہکس فراہم کرتا ہے۔
"ہم نے پایا کہ OpenSSL، جو UEFI فرم ویئر میں استعمال ہوتا ہے - یہ ARM ورژن میں ہے - بہت پرانا ہے۔ مثال کے طور پر، TPM فراہم کرنے والے بڑے اداروں میں سے ایک جسے Infineon کہتے ہیں، وہ آٹھ سال پرانا OpenSSL ورژن استعمال کرتے ہیں،" Matrosov کہتے ہیں۔
متاثرہ نظاموں کو ایڈریس کرنا
اپنے سیکیورٹی بلیٹن میں، Lenovo نے کہا کہ کمزوری نے ThinkPad X13s لیپ ٹاپ کے BIOS کو متاثر کیا۔ BIOS اپ ڈیٹ خامیوں کو دور کرتا ہے۔
بِنارلی نے ایک تحقیقی نوٹ میں کہا کہ مائیکروسافٹ کا ونڈوز ڈیو کٹ 2023، کوڈ نامی پروجیکٹ وولٹررا بھی خطرے سے متاثر ہے۔ پروجیکٹ Volterra کو پروگرامرز کے لیے Windows 11 آپریٹنگ سسٹم کے لیے کوڈ لکھنے اور جانچنے کے لیے ڈیزائن کیا گیا ہے۔ مائیکروسافٹ روایتی x86 ونڈوز ڈویلپرز کو اے آر ایم سافٹ ویئر ایکو سسٹم میں راغب کرنے کے لیے پروجیکٹ وولٹیرا ڈیوائس کا استعمال کر رہا ہے، اور ڈیوائس کی ریلیز گزشتہ سال مائیکروسافٹ کی بلڈ اور اے آر ایم کی ڈیو سمٹ کانفرنسوں میں ایک اعلیٰ اعلان تھی۔
۔ میلٹ ڈاؤن اور سپیکٹر کی کمزوریاں سرور اور پی سی کے بنیادی ڈھانچے میں بڑے پیمانے پر x86 چپس کو متاثر کیا۔ لیکن کی دریافت ARM کی بوٹ پرت میں کمزوریاں خاص طور پر اس کے متعلق ہے کیونکہ فن تعمیر ایک کم طاقت والے موبائل ماحولیاتی نظام کو چلا رہا ہے، جس میں 5G اسمارٹ فونز اور بیس اسٹیشن. بیس اسٹیشنز ایج ڈیوائسز اور کلاؤڈ انفراسٹرکچر کے لیے تیزی سے کمیونیکیشن کے مرکز میں ہیں۔ متروسوف کا کہنا ہے کہ حملہ آور آپریٹرز کی طرح برتاؤ کر سکتے ہیں، اور وہ بیس اسٹیشنوں پر ثابت قدم رہیں گے اور کسی کو معلوم نہیں ہوگا۔
ان کا کہنا ہے کہ سسٹم ایڈمنسٹریٹرز کو اپنی کمپنی کے لیے خطرے کو سمجھ کر اور اسے فوری طور پر حل کرکے پیچنگ فرم ویئر کی خامیوں کو ترجیح دینے کی ضرورت ہے۔ Binarly پیشکش کرتا ہے۔ فرم ویئر کی کمزوریوں کا پتہ لگانے کے لیے اوپن سورس ٹولز.
"ہر کمپنی کے پاس اپنے آلات پر فرم ویئر فکسس فراہم کرنے کی پالیسیاں نہیں ہیں۔ میں نے ماضی میں بڑی کمپنیوں کے لیے کام کیا ہے، اور اس سے پہلے کہ میں نے اپنی کمپنی شروع کی، ان میں سے کوئی بھی - یہاں تک کہ ان ہارڈ ویئر سے متعلقہ کمپنیاں - کے پاس ملازم کے لیپ ٹاپس اور آلات پر فرم ویئر کو اپ ڈیٹ کرنے کے لیے اندرونی پالیسی نہیں تھی۔ یہ درست نہیں ہے،" متروسوف کہتے ہیں۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/dr-tech/firmware-vulnerability-in-chips-helps-hackers-take-control-of-systems
- 11
- 2023
- 7
- a
- تک رسائی حاصل
- پتہ
- خطاب کرتے ہوئے
- منتظمین
- پر اثر انداز
- یلیکس
- اور
- اعلان
- فن تعمیر
- بازو
- توجہ
- دستیاب
- بیس
- کی بنیاد پر
- بنیادی طور پر
- کیونکہ
- اس سے پہلے
- تعمیر
- بلیٹن
- کہا جاتا ہے
- صلاحیتوں
- سینٹر
- سی ای او
- چپ
- چپس
- بادل
- کوڈ
- کموینیکیشن
- کمپنیاں
- کمپنی کے
- سمجھوتہ
- سمجھوتہ کیا
- کانفرنسوں
- کنٹرول
- روایتی
- سمنوئت
- سکتا ہے
- اعداد و شمار
- نجات
- تعینات
- ڈیزائن
- ڈیزائن
- دیو
- ترقی
- ڈویلپرز
- آلہ
- کے الات
- انکشاف
- دریافت
- دریافت
- دروازے
- ڈرائیونگ
- ابتدائی
- ماحول
- ایج
- یا تو
- ملازم
- کو یقینی بنانے کے
- بھی
- مثال کے طور پر
- عملدرآمد
- موجودہ
- دھماکہ
- استحصال کیا۔
- مقرر
- خامیوں
- فورم
- ملا
- بانی
- بانی اور سی ای او
- سے
- حاصل کرنا
- ہارڈ ویئر
- ہکس
- تاہم
- HTML
- HTTPS
- کی نشاندہی
- متاثر
- اثرات
- اہم
- in
- شامل ہیں
- دن بدن
- اشارے
- Infineon
- بنیادی ڈھانچہ
- بات چیت
- دلچسپ
- انٹرفیس
- اندرونی
- جاری
- IT
- جنوری
- جان
- لیپ ٹاپ
- لیپ ٹاپ
- بڑے
- بڑے پیمانے پر
- آخری
- آخری سال
- تازہ ترین
- معروف
- چھوڑ کر
- Lenovo
- سطح
- لنکس
- لانگ
- اہم
- بہت سے
- یاد داشت
- مائیکروسافٹ
- دماغ
- موبائل
- موبائل آلات
- نظر ثانی کی
- سب سے زیادہ
- ایک سے زیادہ
- ضرورت ہے
- قابل ذکر
- کا کہنا
- تعداد
- تجویز
- ایک
- کھول
- کھولیں
- کام
- آپریٹنگ سسٹم
- آپریٹرز
- خود
- خاص طور پر
- گزشتہ
- پیچ
- پیچ کرنا
- PC
- پی سی
- مستقل طور پر
- مسلسل
- مرحلہ
- ٹکڑا
- مقام
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھیلیں
- مہربانی کرکے
- پالیسیاں
- پالیسی
- ترجیح دیں
- مسائل
- عمل
- پروسیسرز
- پروگرامر
- منصوبے
- مناسب طریقے سے
- فراہم
- فراہم کرنے والے
- فراہم کرتا ہے
- qualcomm
- کوالکوم سنیپ ڈریگن
- جلدی سے
- جاری
- تحقیق
- وسائل
- رسک
- کہا
- محفوظ بنانے
- سیکورٹی
- سرورز
- اسمارٹ فونز
- سنیپ ڈریگن
- So
- سافٹ ویئر کی
- ماخذ
- وضاحتیں
- اسپیکٹرم
- شروع کریں
- شروع
- سٹیشنوں
- ابھی تک
- پردہ
- سوئچڈ
- کے نظام
- سسٹمز
- لے لو
- ٹیسٹ
- ۔
- ان
- کرنے کے لئے
- آج
- اوزار
- سب سے اوپر
- تبدیل کر دیا
- کے تحت
- افہام و تفہیم
- متحد
- اپ ڈیٹ کریں
- استعمال کی شرائط
- ورژن
- نقصان دہ
- خطرے کا سامنا
- جس
- گے
- کھڑکیاں
- 11 ونڈوز
- کام کیا
- لکھنا
- سال
- زیفیرنیٹ
