एएमडी अब विकसित हो रहा है और कंपनी के प्रोसेसरों में हाल ही में खोजी गई कमजोरियों के लिए सुधारों की तैनाती का मंचन करना। समाचार वरिष्ठ उपाध्यक्ष और मुख्य प्रौद्योगिकी अधिकारी मार्क पेपरमास्टर के माध्यम से आता है, जो नोट भी करते हैं कमजोरियों का फायदा उठाने के लिए, एक हमलावर को प्रभावित लोगों तक प्रशासनिक पहुंच की आवश्यकता होती है पीसी. उस समय, वे एएमडी के प्रोसेसर में खोजे गए डिवाइस से परे घुसपैठ करने के लिए किसी भी आक्रमण वेक्टर का उपयोग कर सकते थे।
शेड्यूल के अनुसार, एएमडी एक अनिर्दिष्ट तिथि पर मास्टरकी भेद्यता के लिए एक अपडेट के साथ BIOS अपडेट के माध्यम से एक फर्मवेयर पैच जारी करेगा। "आने वाले सप्ताहों" में संबंधित सुरक्षित प्रोसेसर। AMD संबंधित सुरक्षित प्रोसेसर के साथ Ryzenfall और Fallout कमजोरियों के लिए समान शेड्यूल सूचीबद्ध करता है। चिमेरा मुद्दे के लिए, एएमडी वर्तमान में BIOS अद्यतन के माध्यम से शमन पैच जारी करने के लिए प्रोमोंटोरी चिपसेट निर्माता के साथ काम कर रहा है।
अनुशंसित वीडियो
“तीसरे पक्ष के शोधकर्ताओं द्वारा पहचाने गए सुरक्षा मुद्दे एएमडी 'ज़ेन' सीपीयू आर्किटेक्चर या जनवरी में सार्वजनिक किए गए Google प्रोजेक्ट ज़ीरो शोषण से संबंधित नहीं हैं। 3, 2018," पेपरमास्टर कहते हैं। “इसके बजाय, ये मुद्दे हमारे कुछ में एम्बेडेड सुरक्षा नियंत्रण प्रोसेसर को प्रबंधित करने वाले फर्मवेयर से जुड़े हैं उत्पाद (एएमडी सिक्योर प्रोसेसर) और एएमडी का समर्थन करने वाले कुछ सॉकेट एएम4 और सॉकेट टीआर4 डेस्कटॉप प्लेटफॉर्म में उपयोग किया जाने वाला चिपसेट प्रोसेसर।"
सुरक्षा शोधकर्ता हाल ही में शोधकर्ताओं के एक अन्य समूह द्वारा खुलासा किए जाने के कुछ ही महीनों बाद महत्वपूर्ण प्रोसेसर कमजोरियों का एक स्टैंड-अलोन सेट उजागर हुआ मंदी और भूत जनता के लिए खामियां इस बार इंटेल के मालिक राहत की सांस ले सकते थे, क्योंकि ये कारनामे एएमडी के प्रोसेसर के लिए अद्वितीय थे, जिसमें इसके नवीनतम राइज़ेन चिप्स भी शामिल थे।
“रायज़ेन चिपसेट, एक कोर सिस्टम घटक जिसे AMD ने ताइवानी चिप निर्माता, ASMedia को आउटसोर्स किया था, वर्तमान में शिप किया जा रहा है अंदर शोषक निर्माता बैकडोर के साथ,'' सीटीएस लैब्स, जिस कंपनी ने इसकी खोज की थी, द्वारा जारी किए गए श्वेतपत्र में लिखा है कमजोरियाँ। "CTS पिछले छह महीनों से EPYC, Ryzen, Ryzen Pro और Ryzen Mobile सहित AMD के नवीनतम ज़ेन प्रोसेसर की सुरक्षा पर शोध कर रहा है, और संबंधित खोजें की हैं।"
सीटीएस लैब्स ने एक पत्र जारी किया कुछ आलोचनाओं के जवाब में, कारनामों के कुछ तकनीकी विवरणों को स्पष्ट किया गया है सुरक्षा फर्म में इस संभावना के संबंध में कि इन कारनामों का उपयोग किसी दुर्भावनापूर्ण व्यक्ति द्वारा भी किया जा सकता है अभिनेता।
“हमारी साइट में वर्णित कमज़ोरियाँ दूसरे चरण की कमज़ोरियाँ हैं। इसका मतलब यह है कि कमजोरियाँ ज्यादातर एंटरप्राइज़ नेटवर्क, संगठनों और क्लाउड प्रदाताओं के लिए प्रासंगिक हैं, ”सीटीएस लैब्स ने एक बयान में कहा। “amdflaws.com में वर्णित कमजोरियाँ एक ऐसे हमलावर को दे सकती हैं जो पहले ही शुरुआती बढ़त हासिल कर चुका है उद्यम में एक या अधिक कंप्यूटरों में पैर जमाना आईटी और सुरक्षा के मुकाबले एक महत्वपूर्ण लाभ है टीमें।"
संबंधित
- AMD की नवीनतम V-कैश चिप गेमिंग के लिए सस्ती, तेज़ और उत्तम साबित होती है
- हो सकता है कि हैकर्स ने किसी दूसरे पासवर्ड मैनेजर की मास्टर कुंजी चुरा ली हो
- AMD Ryzen 8000 के साथ एक विवादास्पद विकल्प पर अड़ा हो सकता है
यहीं असली ख़तरा है. इन कारनामों का उपयोग आपके खिलाफ व्यक्तिगत रूप से किए जाने की संभावना नहीं है, लेकिन वे आपके लिए एक महत्वपूर्ण खतरा पैदा करते हैं बड़े सिस्टम जो संवेदनशील डेटा को संभालते हैं जो उद्यमी हैकर्स के लिए आकर्षक लक्ष्य बन सकते हैं।
खुलासा धूल-धूसरित
जैसा कि सुरक्षा अनुसंधान फर्म सीटीएस लैब्स ने कथित तौर पर कहा है, घोषणा ने स्वयं ही काफी विवाद उत्पन्न कर दिया है इन कारनामों के अस्तित्व की घोषणा करने से पहले एएमडी को उद्योग-मानक 90-दिन का नोटिस नहीं दिया जनता।
जवाब में, एएमडी ने एक सामान्य बयान जारी किया जो सीटीएस लैब के प्रकटीकरण के अपरंपरागत तरीकों पर कटाक्ष करता है। बयान में कहा गया है, "यह कंपनी पहले एएमडी के लिए अज्ञात थी," और हमें एक सुरक्षा फर्म के लिए इसे प्रकाशित करना असामान्य लगता है कंपनी को इसकी जांच करने और संबोधित करने के लिए उचित समय प्रदान किए बिना इसका शोध प्रेस को दिया गया जाँच - परिणाम।"
सीटीएस लैब्स ने अपना स्वयं का विमोचन किया विवाद पर प्रतिक्रिया मुख्य तकनीकी अधिकारी इलिया लुक-ज़िल्बरमैन द्वारा लिखे गए एक पत्र के रूप में। पत्र में बताया गया है कि चिप निर्माता एएसमीडिया के उत्पादों की जांच के हिस्से के रूप में सीटीएस लैब्स ने सबसे पहले कमजोरियों की खोज कैसे की। पत्र से पता चलता है कि एएमडी ने अनजाने में राइज़ेन चिपसेट घटकों के डिजाइन के लिए एएसमीडिया के साथ अनुबंध करके अपने उत्पादों में शोषण की जड़ें जमा लीं।
लुक-ज़िल्बरमैन का आरोप है कि सीटीएस लैब्स ने जिस गति और आसानी से इन कमजोरियों की खोज की, उसने कंपनी के निर्णय में योगदान दिया। गंभीर भेद्यता होने पर एएमडी जैसी कंपनियों को दी जाने वाली सामान्य 90-दिवसीय विंडो से पहले ही कारनामों को सार्वजनिक करें खोजा गया।
"मैं ईमानदारी से सोचता हूं कि यह विश्वास करना कठिन है कि हम दुनिया में एकमात्र समूह हैं जिनके पास ये कमजोरियां हैं, यह देखते हुए आज दुनिया में अभिनेता कौन हैं, और हम छह शोधकर्ताओं का एक छोटा समूह हैं,'' लुक-ज़िल्बरमैन का पत्र जारी है।
पत्र में साइबर सुरक्षा उद्योग के भीतर "जिम्मेदार प्रकटीकरण" मानदंडों के प्रति सीटीएस लैब्स के विरोध का वर्णन किया गया है। उदाहरण के लिए, जब Google के प्रोजेक्ट ज़ीरो ने मेल्टडाउन और स्पेक्टर कमजोरियों को उजागर किया, तो Google ने AMD और Intel को पैच पर काम करने के लिए 200 दिन की शुरुआत की पेशकश की। सीटीएस लैब्स का दावा है कि यह रिश्ता ग्राहकों के लिए खराब है।
लुक-ज़िल्बरमैन ने कहा, "मुझे लगता है कि 'जिम्मेदार प्रकटीकरण' की मौजूदा संरचना में एक बहुत गंभीर समस्या है।" “मेरी नजर में इस मॉडल के साथ मुख्य समस्या यह है कि इन 30/45/90 दिनों के दौरान, यह विक्रेता पर निर्भर है कि क्या वह ग्राहकों को सचेत करना चाहता है कि कोई समस्या है। और जहां तक मैंने देखा है, यह बेहद दुर्लभ है कि विक्रेता ग्राहकों को सूचित करने के लिए समय से पहले बाहर आएगा।
राइजेनफॉल, फॉलआउट, मास्टरकी और चिमेरा
इससे पहले कि हम यह जानें कि ये कमजोरियाँ क्या हैं और वे कैसे काम करती हैं, आइए एक बात स्पष्ट कर लें: इस लेखन के समय तक इन कमजोरियों के लिए कोई पैच नहीं हैं। यदि आपने समझौता कर लिया है, तो इस समय आप इसके बारे में बहुत कुछ नहीं कर सकते हैं। यदि आप Ryzen प्रोसेसर चला रहे हैं, तो आपको पैच की प्रतीक्षा करते समय अगले कुछ हफ्तों तक बहुत सावधान रहना होगा।
“फर्मवेयर कमजोरियाँ जैसे मास्टरकी, रायज़ेनफ़ॉल और फ़ॉलआउट को ठीक करने में कई महीने लगते हैं। सीटीएस लैब्स की रिपोर्ट में कहा गया है कि चिमेरा जैसी हार्डवेयर कमजोरियों को ठीक नहीं किया जा सकता है और इसके लिए समाधान की आवश्यकता है। "एक समाधान तैयार करना कठिन हो सकता है और अवांछित दुष्प्रभाव पैदा कर सकता है।"
ये कमजोरियाँ चार श्रेणियों में आती हैं, जिन्हें राइजेनफॉल, फॉलआउट, मास्टरकी और चिमेरा कहा जाता है। ये चारों सीधे एएमडी प्रोसेसर के सुरक्षित हिस्से में ले जाते हैं, जहां पासवर्ड और एन्क्रिप्शन कुंजी जैसे संवेदनशील डेटा संग्रहीत होते हैं, लेकिन वे अलग-अलग तरीकों से अपने लक्ष्य प्राप्त करते हैं।
सीटीएस लैब की रिपोर्ट में कहा गया है, "हमलावर विंडोज क्रेडेंशियल गार्ड को बायपास करने, नेटवर्क क्रेडेंशियल चुराने और फिर संभावित रूप से अत्यधिक सुरक्षित विंडोज कॉर्पोरेट नेटवर्क के माध्यम से फैलाने के लिए राइजेनफॉल का उपयोग कर सकते हैं।" "हमलावर सिक्योर प्रोसेसर पर लगातार मैलवेयर इंस्टॉल करने के लिए मास्टरकी के साथ मिलकर राइजेनफॉल का उपयोग कर सकते हैं, जिससे ग्राहकों को गुप्त और दीर्घकालिक औद्योगिक जासूसी का खतरा हो सकता है।"
इन कमजोरियों का वास्तविक खतरा उनकी व्यापक प्रकृति है। एक बार जब किसी ने राइज़ेनफ़ॉल या मास्टरकी के माध्यम से सुरक्षित प्रोसेसर में अपना रास्ता बना लिया, तो वे हमेशा के लिए वहां पहुंच जाते हैं। वे शिविर स्थापित कर सकते हैं और लगभग बिना पहचाने ही पूरे नेटवर्क में फैल सकते हैं। यह व्यक्तियों के लिए एक डरावनी संभावना है, लेकिन माइक्रोसॉफ्ट जैसे एएमडी के एंटरप्राइज़ ग्राहकों के लिए, इसका मतलब बड़े पैमाने पर दुर्भावनापूर्ण अभिनेताओं के लिए बहुत संवेदनशील डेटा का जोखिम हो सकता है।
20 मार्च को अपडेट किया गया: AMD का फ़र्मवेयर रिलीज़ शेड्यूल जोड़ा गया।
संपादकों की सिफ़ारिशें
- AMD 2023 का सबसे पावरफुल लैपटॉप लॉन्च करने वाला है
- AMD का आगामी Ryzen 5 5600X3D बजट बिल्ड में Intel को पूरी तरह से पछाड़ सकता है
- AMD Ryzen विवाद के बाद Asus अपनी प्रतिष्ठा बचाने के लिए संघर्ष कर रहा है
- आगामी मिडरेंज एनवीडिया और एएमडी जीपीयू में एक प्रमुख क्षेत्र की कमी हो सकती है
- AMD के Ryzen 7 7800X3D और Ryzen 9 7950X3D के बीच कोई प्रतिस्पर्धा नहीं है
