CTS-Labs ने AMD के Ryzen और EPYC चिप्स में स्पेक्टर जैसी भेद्यता की खोज की
सीटीएस-लैब्स,[1] इज़राइल में स्थित एक अज्ञात सुरक्षा कंपनी ने AMD के Ryzen और EPYC चिप्स में एक गंभीर CPU दोष की सूचना दी। कंपनी का दावा है कि उसने 13 कमजोरियों का खुलासा किया है जो अपराधियों को मैलवेयर इंजेक्ट करने और व्यक्तिगत डेटा लीक करने की अनुमति देगा।
कंपनी का दावा है कि एएमडी के प्रोसेसर की कमजोरियां अविश्वसनीय रूप से चिंताजनक हैं क्योंकि दोष उन हिस्सों में रहता है जिन्हें सबसे सुरक्षित माना जाता है। संवेदनशील भागों में व्यक्तिगत जानकारी होती है, जिसमें पासवर्ड, लॉगिन जानकारी, एन्क्रिप्शन कुंजी आदि शामिल हैं। जिसके लीकेज से भारी नुकसान होगा।
पिछले कुछ महीनों से, आईटी से संबंधित समाचार साइटें और फ़ोरम स्पेक्टर और मेल्टडाउन कमजोरियों के बारे में चेतावनी के साथ झिलमिला रहे हैं,[2] जो लाखों इंटेल, एएमडी और अन्य आधुनिक प्रोसेसर उपयोगकर्ताओं के साइबर हमलों के लिए एक उच्च जोखिम पैदा करता है। क्या वर्तमान एएमडी की भेद्यता एक और गंभीर खतरा है, यह अभी भी एक बहस का सवाल है।
सीटीएस-लैब्स ने कमजोरियों की जांच के लिए एएमडी को 24 घंटे का समय दिया
संबंधित कंपनी द्वारा विश्लेषण की जाने वाली कमजोरी के लिए मानक समय सीमा 90 दिन है। अवधि के भीतर, दोष के लिए जिम्मेदार कंपनी को इस मुद्दे पर टिप्पणी नहीं करने और वास्तविक परीक्षा परिणाम तैयार होने पर समस्या को स्वीकार या अस्वीकार करने का अधिकार है।
Ryzen और EPYC चिप्स में सुरक्षा भेद्यता के मामले में, AMD से 24 घंटे के भीतर अपने प्रोसेसर की स्थिति को सत्यापित करने की मांग की गई है।[3] महत्वपूर्ण दोषों को ठीक करने के लिए एक दिन पर्याप्त रूप से समस्या का समाधान करने के लिए पर्याप्त नहीं है या, कम से कम, यह जांचें कि क्या यह वास्तविक है। यहां तक कि कुख्यात स्पेक्टर और मेल्टडाउन पैच को भी Google शोधकर्ताओं की मांग की ओर से छह महीने में संबोधित किया जाना है।
चल रही जांच से यह पता चलने की उम्मीद है कि भेद्यता की गंभीरता के कारण इस तरह की त्वरित प्रतिक्रिया की आवश्यकता है या यह सीटीएस-लैब्स की एक निराधार सनक है। एएमडी कंपनी ने तुरंत प्रतिक्रिया दी और सभी कथित रूप से पाए गए मुद्दों की जांच करने का वादा किया, लेकिन सीटीएस-लैब्स की अविश्वसनीयता पर टिप्पणी करने से नहीं रोका:
एक सुरक्षा फर्म के लिए यह असामान्य है कि वह कंपनी को जांच करने और अपने निष्कर्षों को संबोधित करने के लिए उचित समय प्रदान किए बिना अपने शोध को प्रेस में प्रकाशित करे।
प्रारंभ में मज़ाक उड़ाया गया, मुद्दों को वास्तविक होने की स्वीकृति दी गई
सीटीएस लैब्स के परीक्षा परिणामों के खुलासे ने शुरू में आईटी विशेषज्ञों के बीच अलग-अलग राय पैदा की। उनमें से अधिकांश ने नींव को अस्वीकार कर दिया और पूरी परियोजना का "मजाक" उड़ाया। लिनक्स के निर्माता लिनुस टॉर्वाल्ड्स सक्रिय आंकड़ों में से एक थे जिन्होंने एएमडी के रेजेन और ईपीवाईसी चिप्स के दावों का खंडन करने की कोशिश की। उन्होंने एक Google+ चर्चा में कहा:
पिछली बार आपने एक सुरक्षा सलाह कब देखी थी जो मूल रूप से थी 'यदि आप BIOS या CPU माइक्रोकोड को किसी बुरे संस्करण से बदलते हैं, तो आपको सुरक्षा समस्या हो सकती है?' हां।
बाद में उन्होंने जोड़ा:
मुझे अभी सभी हार्डवेयर स्पेस में एक दोष मिला है। कोई उपकरण सुरक्षित नहीं है: यदि आपके पास किसी उपकरण तक भौतिक पहुंच है, तो आप बस उसे उठा सकते हैं और दूर जा सकते हैं। क्या मैं अभी तक एक सुरक्षा विशेषज्ञ हूँ?
हालांकि, एएमडी वर्तमान स्थिति का जवाब देने के लिए तेज था और आश्चर्यजनक रूप से विपरीत पक्षों के लिए, उसने स्वीकार किया कि सुरक्षा दोष वास्तविक है। कंपनी के शोधकर्ताओं में से एक डैन गुइडो ने दोष की पुष्टि की:[4]
रिलीज के आसपास के प्रचार के बावजूद, बग वास्तविक हैं, उनकी तकनीकी रिपोर्ट (जो सार्वजनिक afaik नहीं है) में सटीक रूप से वर्णित है, और उनका शोषण कोड काम करता है।
रेजेनफॉल, मास्टर की, फॉलआउट और चिमेरा। इन दोषों के खतरे क्या हैं?
Ryzenfall, Master Key, Fallout, और Chimera के रूप में डब किया गया, AMD के Ryzen प्रोसेसर और EPYC सर्वर प्रोसेसर में सामने आई सुरक्षा खामियों का अभी तक अपराधियों द्वारा शोषण नहीं किया गया है।
इन दोषों का खतरा बल्कि अतिरंजित है। यह पता चला है कि मैलवेयर इंजेक्शन और डेटा रिसाव के लिए उनका शोषण करने के लिए, अपराधियों को प्रशासनिक विशेषाधिकारों की आवश्यकता होती है। हालांकि दोष के जंगली जाने की उम्मीद नहीं है, बदमाश जिनके पास पीसी तक प्रशासनिक पहुंच हो सकती है, वे लक्षित डिवाइस पर व्यावहारिक रूप से कुछ भी कर सकते हैं।[5]
इसलिए, दोष के बारे में नवीनतम समाचारों के संपर्क में रहने और एएमडी के प्रोसेसर पैच वाले BIOS अद्यतनों को स्थापित करने की सलाह दी जाती है।