मेल्टडाउन और स्पेक्टर क्या हैं?

मेल्टडाउन और स्पेक्टर सुरक्षा कमजोरियां हैं जो आधुनिक सीपीयू के अधिकांश हिस्से को प्रभावित करते हैं। इन कमजोरियों के लिए व्यावहारिक कारनामे 2017 में ऑस्ट्रिया में ग्राज़ यूनिवर्सिटी ऑफ़ टेक्नोलॉजी के शोधकर्ताओं और कैलिफोर्निया में Google के प्रोजेक्ट ज़ीरो द्वारा स्वतंत्र रूप से खोजे गए थे। 3 जनवरी, 2018 को कमजोरियों की औपचारिक घोषणा की गई।

मेल्टडाउन इंटेल सीपीयू के लिए एक भेद्यता है। जब इंटेल सीपीयू को डेटा प्रीफ़ैच करने के लिए कहा जाता है, तो वे उपयोगकर्ता के विशेषाधिकारों की जांच करने से पहले डेटा पढ़ते हैं। हालाँकि विशेषाधिकार प्राप्त डेटा को अनपेक्षित उपयोगकर्ता को वितरित नहीं किया जाता है, लेकिन सीपीयू उस विशिष्ट डेटा के आधार पर अलग-अलग काम करता है जो कि लाया गया था। एक हमलावर एक साइड-चैनल में प्रोसेसर के प्रदर्शन की निगरानी कर सकता है और डेटा के बारे में महत्वपूर्ण विवरण दे सकता है। यह जानकारी इस संभावना में सुधार या गारंटी देती है कि बाद के हमले सफल होंगे।

प्रभाव किसी पर्दे के पीछे किसी को कुछ हिलता हुआ देखने के समान है। आप इस चीज को नहीं देख सकते हैं, लेकिन यदि आप पर्दे में इसके आकार और गति को देख सकते हैं, तो आप इसके बारे में एक शिक्षित अनुमान लगा सकते हैं कि यह क्या है। इसे "मेल्टडाउन" कहा जाता है क्योंकि सूचनात्मक बाधा जो विशेषाधिकार प्राप्त डेटा की रक्षा करती है, हमले से प्रभावी रूप से भंग हो जाती है।

नीचे दिए गए वीडियो, जो शोधकर्ताओं ने खोजा था, ने कार्रवाई में एक सबूत-ऑफ-अवधारणा मेलडाउन हमला दिखाया।

काली छाया

स्पेक्टर मेल्टडाउन के समान है, लेकिन एक चिप के मालिकाना व्यवहार पर हमला करने के बजाय, यह एक मौलिक सीपीयू डिजाइन प्रतिमान की पूर्व-अज्ञात कमजोरी को लक्षित करता है।

प्रतिमान, आउट-ऑफ-ऑर्डर निष्पादन, "अनुमान" के लिए सट्टा निष्पादन का उपयोग करता है कि आगे क्या ऑपरेशन होना चाहिए, और उस समय से पहले कुछ काम करें। यदि अनुमान सही है, तो एक प्रमुख स्पीडअप प्राप्त किया जाता है। इस डिज़ाइन वाले सीपीयू को सुपरसर्लर प्रोसेसर कहा जाता है। अधिकांश आधुनिक सीपीयू सुपरस्क्लेयर हैं, जैसे कि आधुनिक डेस्कटॉप, लैपटॉप और मोबाइल डिवाइस।

स्पेक्टर अपनी सट्टा शाखा की भविष्यवाणियों (अनुमान) में हेरफेर करके सुपरस्क्लेयर प्रोसेसर का लाभ उठाता है। हमलावर मुद्दों को सीपीयू द्वारा गलत अनुमान लगाने के लिए तैयार किए गए निर्देश जारी करता है, जो साइड-चैनल विश्लेषण की अनुमति देता है। स्पेक्टर फिर इस जानकारी का उपयोग करके यह बताता है कि सीपीयू आगे किस कोड को कार्यान्वित करता है, जिसमें एक अन्य रनिंग प्रोग्राम के निजी निर्देश भी शामिल हैं। इस सामान्य प्रकार के हमले को शाखा लक्ष्य इंजेक्शन कहा जाता है।

स्पेक्टर हमलों को लागू करना मुश्किल है, क्योंकि उन्हें विशेष रूप से पीड़ित के सॉफ़्टवेयर को लक्षित करना चाहिए। उन्हें रोकना भी अधिक कठिन होता है, क्योंकि वे सभी सुपरसैलर प्रोसेसर को प्रभावित करते हैं, जिनमें इंटेल, एएमडी, और एआरएम द्वारा निर्मित हैं।

सट्टा प्रसंस्करण के संदर्भ में भेद्यता को "स्पेक्टर" कहा जाता है, और क्योंकि यह समस्या आने वाले कई वर्षों के लिए कंप्यूटर की दुनिया को "परेशान" करेगी।

वे महत्वपूर्ण क्यों हैं?

सीपीयू के भौतिक सर्किटरी में ये कमजोरियां मौजूद हैं, इसलिए उन्हें ठीक करना बहुत मुश्किल है।

मेल्टडाउन पिछले बीस वर्षों में बनाए गए प्रत्येक इंटेल सीपीयू को प्रभावित करता है। स्पेक्टर अधिकांश आधुनिक सीपीयू के एक मूलभूत हिस्से को प्रभावित करता है।

मेल्टडाउन हमलों को ऑपरेटिंग सिस्टम में परिवर्तन से कम किया जा सकता है, जिसके परिणामस्वरूप धीमी प्रदर्शन होगा। हालाँकि, स्पेक्टर हमलों के लिए, कोई भी सॉफ़्टवेयर-आधारित शमन संभव नहीं हो सकता है।

क्या मेरा उपकरण प्रभावित हुआ है?

डेस्कटॉप और लैपटॉप कंप्यूटर

मेल्टडाउन कम से कम 1995 तक वापस आने वाले सभी इंटेल प्रोसेसर को प्रभावित करता है। इस लेखन के रूप में, माइक्रोसॉफ्ट विंडोज, मैकओएस एक्स और लिनक्स ऑपरेटिंग सिस्टम के लिए फ़िक्सेस विकास में हैं। ये फिक्स अनुमानित 5-10% प्रदर्शन लागत पर कर्नेल स्तर पर हमले की संभावना को कम करते हैं।

स्पेक्टर सभी सुपरस्लेकर प्रोसेसर को प्रभावित करता है, जिसमें अधिकांश उपभोक्ता सीपीयू शामिल होते हैं। स्केलर प्रोसेसर प्रभावित नहीं होते हैं। उदाहरण के लिए, रास्पबेरी पाई स्केलर एआरएम प्रोसेसर का उपयोग करता है, जो सट्टा प्रसंस्करण को रोजगार नहीं देता है और इस हमले के लिए कमजोर नहीं है।

मोबाइल उपकरण

एंड्रॉइड और आईओएस डिवाइस, जैसे स्मार्टफोन और टैबलेट, दोनों हमलों के लिए सैद्धांतिक रूप से अतिसंवेदनशील हैं। हालांकि, एंड्रॉइड और आईओएस के नवीनतम संस्करणों में मेलडाउन को कम करने के लिए अपडेट शामिल हैं; और स्पेक्ट्रम हमलों, जबकि संभव हो, को अत्यधिक अक्षम्य दिखाया गया है।

वेब ब्राउज़र्स

यदि आप फ़ायरफ़ॉक्स क्वांटम (संस्करण 57 या अधिक संस्करण) का उपयोग कर रहे हैं, तो आपको ब्राउज़र में जावास्क्रिप्ट जैसे कोड चलाने पर मेल्टडाउन से सुरक्षित किया जाता है।

Google ने घोषणा की है कि 23 जनवरी 2018 की अनुमानित रिलीज की तारीख के साथ क्रोम संस्करण 64, ब्राउज़र में मेल्टडाउन को कम करेगा।

Microsoft एज उपयोगकर्ता विंडोज अपडेट द्वारा ब्राउज़र को स्वचालित रूप से पैच किए जाने की उम्मीद कर सकते हैं। ओपेरा ने मेल्टडाउन को कम करने के लिए आगामी सुरक्षा अद्यतन की भी घोषणा की है।

मैं अपने डिवाइस की सुरक्षा कैसे कर सकता हूं?

अपने डिवाइस को मेल्टडाउन हमले से बचाने के लिए, अपने ऑपरेटिंग सिस्टम के लिए वर्तमान में उपलब्ध सभी अपडेट इंस्टॉल करें।

  • विंडोज 10, 8, और 7 के लिए, एक नए विंडोज अपडेट की जांच करें।
  • MacOS X के लिए, ऐप स्टोर में नए सुरक्षा अपडेट देखें।
  • एंड्रॉइड के लिए, अपने स्मार्टफोन या टैबलेट पर Google दिसंबर 2017 सुरक्षा अपडेट इंस्टॉल करें। आप सेटिंग के तहत, डिवाइस के बारे में अपडेट पा सकते हैं। नए पिक्सेल, नेक्सस, और गैलेक्सी फोन तुरंत सुरक्षा उन्नयन के लिए पात्र हैं। यदि आप सुनिश्चित नहीं हैं कि आपके डिवाइस के लिए अपडेट उपलब्ध है, तो अपने निर्माता से संपर्क करें।
  • IOS के लिए, अपने स्मार्टफोन या टैबलेट पर iOS 11.2 या उससे अधिक स्थापित करें। अपडेट की जांच करने के लिए, सेटिंग, जनरल, सॉफ़्टवेयर अपडेट पर जाएं