ज़ेनब्लीड, डाउनफॉल, इंसेप्शन और अन्य जैसी सीपीयू कमजोरियों के बारे में आपको जो कुछ जानने की जरूरत है

कम्प्यूटिंगNov 21, 2023

सीपीयू की कमजोरियां हाल ही में बहुत तेजी से बढ़ी हैं, जिनमें ज़ेनब्लीड और डाउनफॉल दो हालिया घटनाएं हैं। लेकिन आपको कितना चिंतित होना चाहिए?

सीपीयू की कमज़ोरियाँ हाल के वर्षों में ख़बरों में आती-जाती रही हैं, और जब उनके प्रकट होने की बात आती है तो वे अक्सर एक बहुत ही डरावने संदेश के साथ आती हैं। के मामले में ज़ेनब्लीड और पतन, यह था कि आपके कंप्यूटर पर कोई भी एप्लिकेशन सही परिस्थितियों में चल रहे किसी अन्य प्रोग्राम की मेमोरी तक पहुंच सकता था। तीव्र लगता है, है ना?

हालाँकि, यह उतना बुरा नहीं है जितना लगता है। प्रदर्शन की कीमत पर भी, त्रुटियों को ठीक करने के लिए प्रकटीकरण और सॉफ़्टवेयर अपडेट की गारंटी देना स्पष्ट रूप से काफी महत्वपूर्ण है, लेकिन इन सुरक्षा समस्याओं का कारण वास्तव में क्या हो रहा है? क्या आपको चिंतित होना चाहिए?

क्या आपको ज़ेनब्लीड, डाउनफॉल और इंसेप्शन जैसी सीपीयू कमजोरियों के बारे में चिंतित होना चाहिए?

ईमानदारी से कहें तो, इनमें से कोई भी कारनामा अधिकांश लोगों को प्रभावित नहीं करता है। हालाँकि वे डेटा को एक प्रोग्राम से दूसरे प्रोग्राम में लीक कर सकते हैं, उपभोक्ता की मशीन पर मैलवेयर के किसी भी टुकड़े के पास पहले से ही बड़े स्तर की पहुंच होती है जिसका वह दुरुपयोग कर सकता है। इसके बजाय, जहां ये हमले विशेष रूप से चिंताजनक हैं, वह क्लाउड कंप्यूटिंग संदर्भ में है।

समस्या को समझने के लिए, आपको यह समझने की आवश्यकता है कि कई अलग-अलग क्लाउड सर्वर बस हैं बहुत अधिक हॉर्सपावर, बड़े नेटवर्क बैंडविड्थ और कुछ अन्य विशेष हार्डवेयर वाले कंप्यूटर आवश्यक। कई कंपनियां जिसे वीपीएस या वर्चुअल प्राइवेट सर्वर कहा जाता है, उसे किराए पर देती हैं, जो सीमित शक्ति वाली वर्चुअलाइज्ड मशीनें होती हैं, जहां दर्जनों अन्य वर्चुअल मशीनें चल सकती हैं।

जहां यह एक समस्या हो सकती है वह यह है कि एक वर्चुअल मशीन पर एक व्यक्ति इनमें से किसी एक को निष्पादित कर सकता है कमजोरियाँ, प्रोसेसर के माध्यम से कौन सा डेटा प्रवाहित हो रहा है, इसकी जानकारी प्राप्त करना, जिसमें अन्य डेटा भी शामिल है आभाषी दुनिया। यह संभव नहीं होना चाहिए और यह सुरक्षा का एक बड़ा उल्लंघन है। इसीलिए जब ज़ेनब्लीड का खुलासा हुआ, तो एएमडी के एपिक प्रोसेसर के लिए पहले से ही पैच मौजूद थे, जिनका उद्देश्य सर्वर का उपयोग करना है।

वर्तमान में सबसे गंभीर CPU कमजोरियाँ

"रैंकिंग" कमजोरियों और उनकी गंभीरता का उद्योग मानक सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) के माध्यम से होता है। यह गंभीरता का एक मात्रात्मक माप प्रदान करता है, क्योंकि भेद्यता के विभिन्न पहलू स्कोर को प्रभावित करेंगे। यह निम्नलिखित को ध्यान में रखकर मापता है:

  • आक्रमण सदिश: नेटवर्क/आसन्न/स्थानीय/भौतिक
  • आक्रमण की जटिलता: उच्च निम्न
  • विशेषाधिकार आवश्यक: कोई नहीं/निम्न/उच्च
  • उपयोगकर्ता संपर्क: कोई आवश्यकता नहीं
  • दायरा: अपरिवर्तित/परिवर्तित
  • गोपनीयता: कोई नहीं/निम्न/उच्च
  • अखंडता: कोई नहीं/निम्न/उच्च
  • उपलब्धता: कोई नहीं/निम्न/उच्च

ये सभी बग की गंभीरता को वर्गीकृत करते हैं। उदाहरण के लिए, एक भेद्यता जिसे कम जटिलता वाले नेटवर्क पर निष्पादित किया जा सकता है, किसी विशेषाधिकार की आवश्यकता नहीं है, कोई उपयोगकर्ता इंटरैक्शन नहीं है, बदले हुए दायरे के साथ, उच्च डेटा गोपनीयता रिसाव, उच्च डेटा अखंडता उल्लंघन, और उपलब्धता पर उच्च प्रभाव सीवीएसएस 3.1 में पूर्ण 10 स्कोर करेगा, जो उच्चतम स्कोर है। संभव।

उस मीट्रिक के द्वारा, हम उस क्षति का आकलन कर सकते हैं जो ज़ेनब्लीड और डाउनफ़ॉल करने में सक्षम हैं। स्पॉइलर: वे समान हैं, हालांकि वे विभिन्न सीपीयू को प्रभावित करते हैं। इसलिए, जबकि वे एक निश्चित राशि प्राप्त करते हैं कमजोरियों के संदर्भ में, वे विभिन्न मात्रा में उत्पादों को प्रभावित कर सकते हैं, और इससे उन पर कोई प्रभाव नहीं पड़ेगा अंक। सीवीएसएस स्कोर अनिवार्य रूप से केवल ट्राइएज के लिए हैं लेकिन पूरी कहानी नहीं बताते हैं।

ज़ेनब्लीड: 6.5 (मध्यम)

  • आक्रमण सदिश: स्थानीय
  • आक्रमण की जटिलता: कम
  • विशेषाधिकार आवश्यक: कम
  • उपयोगकर्ता संपर्क: कोई नहीं
  • दायरा: बदला हुआ
  • गोपनीयता: उच्च
  • अखंडता: कोई नहीं
  • उपलब्धता: कोई नहीं

स्पष्टीकरण: आक्रमण वेक्टर को मशीन तक स्थानीय पहुंच की आवश्यकता होती है (जैसा कि, यह मशीन पर चलता है) जबकि मशीन पर डेटा की अखंडता या इसकी उपलब्धता पर कोई प्रभाव नहीं पड़ता है। हालाँकि, यह दायरा बदलता है (मतलब यह अपने विशेषाधिकारों से परे संसाधनों को प्रभावित करता है) और हमले की जटिलता, और निष्पादित करने के लिए आवश्यक विशेषाधिकार कम हैं। यह मशीन पर मौजूद जानकारी की गोपनीयता का भी पूरी तरह से उल्लंघन करता है।

गिरावट: 6.5 (मध्यम)

  • आक्रमण सदिश: स्थानीय
  • आक्रमण की जटिलता: कम
  • विशेषाधिकार आवश्यक: कम
  • उपयोगकर्ता संपर्क: कोई नहीं
  • दायरा: बदला हुआ
  • गोपनीयता: उच्च
  • अखंडता: कोई नहीं
  • उपलब्धता: कोई नहीं

स्पष्टीकरण: आक्रमण वेक्टर को मशीन तक स्थानीय पहुंच की आवश्यकता होती है (जैसा कि, यह मशीन पर चलता है) जबकि मशीन पर डेटा की अखंडता या इसकी उपलब्धता पर कोई प्रभाव नहीं पड़ता है। हालाँकि, यह दायरा बदलता है (मतलब यह अपने विशेषाधिकारों से परे संसाधनों को प्रभावित करता है) और हमले की जटिलता, और निष्पादित करने के लिए आवश्यक विशेषाधिकार कम हैं। यह मशीन पर मौजूद जानकारी की गोपनीयता का भी पूरी तरह से उल्लंघन करता है।

आरंभ: 5.6 (मध्यम)

  • आक्रमण सदिश: स्थानीय
  • आक्रमण की जटिलता: उच्च
  • विशेषाधिकार आवश्यक: कम
  • उपयोगकर्ता संपर्क: कोई नहीं
  • दायरा: बदला हुआ
  • गोपनीयता: उच्च
  • अखंडता: कोई नहीं
  • उपलब्धता: कोई नहीं

स्पष्टीकरण: आक्रमण वेक्टर को मशीन तक स्थानीय पहुंच की आवश्यकता होती है (जैसा कि, यह मशीन पर चलता है) जबकि मशीन पर डेटा की अखंडता या इसकी उपलब्धता पर कोई प्रभाव नहीं पड़ता है। हालाँकि, यह दायरा बदलता है (मतलब यह अपने विशेषाधिकारों से परे संसाधनों को प्रभावित करता है), हमले की जटिलता अधिक है, और निष्पादित करने के लिए आवश्यक विशेषाधिकार कम हैं। यह मशीन पर मौजूद जानकारी की गोपनीयता का भी पूरी तरह से उल्लंघन करता है।

स्पेक्टर: 5.6 (मध्यम) (पैच किया हुआ)

स्पेक्टर, अधिक व्यापक घटना होने के बावजूद, वास्तव में स्कोर करता है कम ज़ेनब्लीड और डाउनफ़ॉल की तुलना में। यह इस तथ्य के कारण है कि हमले की जटिलता को "उच्च" करार दिया गया, जिससे इसका स्कोर गिर गया।

  • आक्रमण सदिश: स्थानीय
  • आक्रमण की जटिलता: उच्च
  • विशेषाधिकार आवश्यक: कम
  • उपयोगकर्ता संपर्क: कोई नहीं
  • दायरा: बदला हुआ
  • गोपनीयता: उच्च
  • अखंडता: कोई नहीं
  • उपलब्धता: कोई नहीं

स्पष्टीकरण: आक्रमण वेक्टर को मशीन तक स्थानीय पहुंच की आवश्यकता होती है (जैसा कि, यह मशीन पर चलता है) जबकि मशीन पर डेटा की अखंडता या इसकी उपलब्धता पर कोई प्रभाव नहीं पड़ता है। हालाँकि, यह दायरा बदलता है (मतलब यह अपने विशेषाधिकारों से परे संसाधनों को प्रभावित करता है), हमले की जटिलता अधिक है, और निष्पादित करने के लिए आवश्यक विशेषाधिकार कम हैं। यह मशीन पर मौजूद जानकारी की गोपनीयता का भी पूरी तरह से उल्लंघन करता है।

मेल्टडाउन: 5.6 (मध्यम) (पैच किया हुआ)

स्पेक्टर की तरह, आवश्यक अधिक हमले की जटिलता के कारण, मेल्टडाउन का स्कोर ज़ेनब्लीड और डाउनफॉल से कम है।

  • आक्रमण सदिश: स्थानीय
  • आक्रमण की जटिलता: उच्च
  • विशेषाधिकार आवश्यक: कम
  • उपयोगकर्ता संपर्क: कोई नहीं
  • दायरा: बदला हुआ
  • गोपनीयता: उच्च
  • अखंडता: कोई नहीं
  • उपलब्धता: कोई नहीं

स्पष्टीकरण: आक्रमण वेक्टर को मशीन तक स्थानीय पहुंच की आवश्यकता होती है (जैसा कि, यह मशीन पर चलता है) जबकि मशीन पर डेटा की अखंडता या इसकी उपलब्धता पर कोई प्रभाव नहीं पड़ता है। हालाँकि, यह दायरा बदलता है (मतलब यह अपने विशेषाधिकारों से परे संसाधनों को प्रभावित करता है), हमले की जटिलता अधिक है, और निष्पादित करने के लिए आवश्यक विशेषाधिकार कम हैं। यह मशीन पर मौजूद जानकारी की गोपनीयता का भी पूरी तरह से उल्लंघन करता है।

सबसे बड़ा कारण: शाखा भविष्यवाणी

स्रोत: एएमडी

शाखा भविष्यवाणी और सट्टा निष्पादन मोटे तौर पर संदर्भित करते हैं जब आपका कंप्यूटर ऐसे ऑपरेशन करता है जिनकी फिलहाल आवश्यकता नहीं है लेकिन बाद के चक्रों में होगी। यह अक्सर ऐसे समय में किया जाता है जब आपके सिस्टम के पास मुफ्त संसाधन होते हैं क्योंकि यह समग्र प्रसंस्करण को गति देता है जब निर्देश या डेटा अन्यथा सीपीयू के लिए तैयार नहीं होते हैं। यदि किए गए कार्य की आवश्यकता नहीं है, तो इसे आम तौर पर छोड़ दिया जाता है, और प्रोसेसर अगले सही निर्देश को निष्पादित करने के लिए वापस वहां जा सकता है जहां उसे जरूरत है। जब यह ऐसा करता है, तो इसे शाखा गलत भविष्यवाणी कहा जाता है।

शाखा भविष्यवक्ताओं की अधिक गहन समझ के लिए, एक ऐसे परिदृश्य की कल्पना करें जहां एक प्रोग्राम लगातार अपने निष्पादन में समान दो नंबर जोड़ता है। कुछ स्तर पर, प्रोसेसर इस पैटर्न को पहचान सकता है और अगले चरण तैयार कर सकता है, जिस विधि में उन दो नंबरों को दोबारा जोड़ा जाता है, उसे दोबारा बुलाया जाता है। यदि वह परिणाम किसी बिंदु पर बदलता है, भले ही प्रोसेसर ने समान दो संख्याओं के लिए योजना बनाई हो, तो अनुमान को खारिज कर दिया जाएगा और वास्तविक निष्पादन प्रवाह द्वारा प्रतिस्थापित किया जाएगा। हालाँकि, उस समय के लिए वे संख्याएँ हैं वही, फिर प्रोसेसर उन निर्देशों को जल्दी से छोड़ सकता है।

हालाँकि, जब सट्टा निष्पादन की बात आती है तो कई समस्याएं होती हैं, और स्पेक्टर, ज़ेनब्लीड, डाउनफ़ॉल और अन्य जैसी कमजोरियाँ इसका परिणाम हैं। यह एक शक्तिशाली विशेषता है कि हम आधुनिक सीपीयू प्रदर्शन के लिए बहुत आभारी हैं, लेकिन जब शोधकर्ता सीपीयू में कमजोरियों की तलाश करते हैं तो यह एक प्रमुख लक्ष्य है।

शमन: एक प्रदर्शन अवरोधक

इन कमजोरियों को कम करना अत्यंत महत्वपूर्ण है, लेकिन समस्या यह है कि ये कमियां अक्सर प्रदर्शन पर भारी पड़ रही हैं। एएमडी के सबसे हालिया ज़ेनब्लीड के मामले में, शमन में बड़े पैमाने पर प्रदर्शन ओवरहेड्स देखने को मिल सकते हैं।

इसका कारण यह है कि इसका एकमात्र वास्तविक तरीका प्रभावित प्रोसेसर में शाखा भविष्यवक्ता के व्यवहार को अक्षम करना या बदलना है। वही प्रदर्शन हिट इंटेल के पतन के शमन में पाया जा सकता है, प्रारंभिक रिपोर्टों से प्रदर्शन पर 39% तक प्रभाव पड़ने का संकेत मिलता है. महाकाव्य खेल एक बार प्रसिद्ध रूप से साझा किया गया मेल्टडाउन भेद्यता का खुलासा होने के बाद सीपीयू उपयोग ग्राफ और कंपनी के सीपीयू उपयोग पर उन शमन का कितना प्रभाव पड़ा। जैसा कि किसी को उम्मीद थी, सीपीयू उपयोग में बड़ी वृद्धि हुई। जहां चीजें डरावनी हो जाती हैं वह है एएमडी के इंसेप्शन का समाधान, प्रदर्शन में 54% तक की गिरावट पाई गई.

क्योंकि इस तरह की कमजोरियाँ प्रोसेसर की मूलभूत सुविधाओं को प्रभावित करती हैं, इसलिए मुख्य विशेषताओं को अक्षम करने या गंभीर रूप से खराब करने के अलावा उन्हें ठीक करना वास्तव में कठिन है। सट्टा निष्पादन अविश्वसनीय रूप से महत्वपूर्ण है, और ये कमी कई लोगों द्वारा महसूस की जाएगी। गेमिंग प्रदर्शन का पूर्वानुमान कम है, इसलिए यदि आपके पीसी का प्राथमिक उपयोग गेमिंग है, तो हो सकता है ठीक है क्योंकि आपका कंप्यूटर इतनी अधिक भविष्यवाणियाँ नहीं कर सकता है, लेकिन ये समस्याएँ बहुत बड़ी हो जाती हैं सिस्टम.

क्या भविष्य के प्रोसेसर प्रभावित होंगे?

शुक्र है, इंटेल डाउनफॉल और ज़ेनब्लीड दोनों के मामले में, ये कारनामे पुराने प्रोसेसर को प्रभावित करते हैं। नए प्रोसेसर दोनों कंपनियों के कर्मचारी सुरक्षित हैं और फिलहाल चिंता की कोई बात नहीं है। एक महत्वपूर्ण रीडिज़ाइन आमतौर पर इन समस्याओं को ठीक करता है। उदाहरण के लिए, स्पेक्टर ने इंटेल की आठवीं और नौवीं पीढ़ी के सीपीयू को प्रभावित किया, लेकिन नौवीं पीढ़ी ने लागू किए गए सॉफ़्टवेयर सुधारों का एक हार्डवेयर संस्करण शामिल किया, प्रदर्शन हिट के साथ पूरा करें. इंटेल की 10वीं पीढ़ी अभी भी सुरक्षित थी लेकिन उन शमन उपायों से अब प्रदर्शन पर कोई प्रभाव नहीं पड़ा।

परिणामस्वरूप, यह देखते हुए कि डाउनफ़ॉल और ज़ेनब्लीड दोनों अपने संबंधित प्रोसेसर के सबसे हाल के संस्करणों में पहले से ही तय थे, उपयोगकर्ताओं को चिंता करने की कोई ज़रूरत नहीं है। बेशक, हमेशा अधिक कमजोरियाँ खोजी जा सकती हैं, लेकिन इस समय, आप सुरक्षित हैं।