एएमडी: Google शोधकर्ता ने एएमडी सीपीयू में बग का पता लगाया: यह उपयोगकर्ताओं को कैसे प्रभावित कर सकता है

एक शोधकर्ता के साथ गूगल सूचना सुरक्षा प्रभावित करने की क्षमता वाली एक हार्डवेयर भेद्यता पाई गई है एएमडीज़ेन 2 प्रोसेसर की श्रृंखला। पासवर्ड और एन्क्रिप्शन कुंजी जैसे संवेदनशील डेटा को चुराने के लिए इस दोष का फायदा उठाया जा सकता है। AMD के प्रभावित प्रोसेसर लाइनअप में बजट-अनुकूल Ryzen 5 3600 जैसे लोकप्रिय CPU भी शामिल हैं।

मई में, गूगल सुरक्षा शोधकर्ता टैविस ओरमंडी “ज़ेनब्लीड” बग की खोज की।

ओरमंडी ने अब अपने ब्लॉग पर बग का खुलासा करते हुए बताया है कि यह उपयोगकर्ताओं को कैसे प्रभावित कर सकता है।
प्रभावित एएमडी सीपीयू
यह नई भेद्यता कंपनी के संपूर्ण ज़ेन 2 उत्पाद स्टैक को प्रभावित कर सकती है। इसमें जैसे प्रोसेसर शामिल हैं एएमडी रायज़ेन Ryzen Pro 3000/4000 सीरीज के साथ 3000/4000/5000/7020 सीरीज। एएमडी के ईपीवाईसी “रोम” डेटा सेंटर प्रोसेसर भी सुरक्षा दोष से प्रभावित हुए हैं। कंपनी ने शोषण को ठीक करने के लिए अपनी प्रत्याशित रिलीज़ टाइमलाइन पहले ही प्रकाशित कर दी है। अधिकांश फर्मवेयर अपडेट 2023 के अंत तक आने की उम्मीद है।
यह बग यूजर्स को कैसे प्रभावित कर सकता है
टॉम हार्डवेयर की एक रिपोर्ट के अनुसार, ज़ेनब्लीड शोषण के लिए किसी उपयोगकर्ता के सिस्टम पर हमला करने के लिए उसके कंप्यूटर तक भौतिक पहुंच की आवश्यकता नहीं होती है। हैकर्स किसी वेबपेज पर जावास्क्रिप्ट के माध्यम से दूरस्थ रूप से निष्पादित करके बग का फायदा उठा सकते हैं। यदि सफलतापूर्वक निष्पादित किया जाता है तो भेद्यता 30kb प्रति कोर, प्रति सेकंड की दर से डेटा स्थानांतरण की अनुमति दे सकती है। ऐसी गति इतनी तेज़ होती है कि सिस्टम पर चल रहे किसी भी सॉफ़्टवेयर से संवेदनशील डेटा चुरा सकती है। ऑरमैंडी का दावा है कि इसमें वर्चुअल मशीन, सैंडबॉक्स, कंटेनर और प्रक्रियाएं शामिल हैं।
एक अन्य रिपोर्ट में यह भी दावा किया गया है कि इस शोषण का लचीलापन क्लाउड-होस्टेड सेवाओं के लिए चिंता का विषय है। बग का उपयोग उन उपयोगकर्ताओं की जासूसी करने के लिए किया जा सकता है जो क्लाउड का हिस्सा हैं।
इसके अलावा, ज़ेनब्लीड पहचान से भी बच सकता है क्योंकि इसका फायदा उठाने के लिए किसी विशेष सिस्टम कॉल या विशेषाधिकार की आवश्यकता नहीं होती है। मुझे शोषण का पता लगाने की किसी विश्वसनीय तकनीक की जानकारी नहीं है,” ऑरमैंडी ने कहा।

एएमडी ने बग पर कैसे प्रतिक्रिया दी है
AMD ने पहले ही दूसरी पीढ़ी के Epyc 7002 प्रोसेसर के लिए एक माइक्रोकोड पैच जारी कर दिया है। शेष सीपीयू लाइनों के लिए अगला अपडेट अक्टूबर तक आने की उम्मीद है। जो उपयोगकर्ता कंपनी द्वारा अपडेट जारी करने का इंतजार नहीं करना चाहते, वे सॉफ़्टवेयर वर्कअराउंड भी लागू कर सकते हैं। हालाँकि, ऑरमैंडी ने चेतावनी दी है कि यह समाधान सिस्टम प्रदर्शन को भी प्रभावित कर सकता है। इसके अलावा, यहां तक ​​कि एएमडी ने भी यह खुलासा नहीं किया है कि क्या ये अपडेट सिस्टम के प्रदर्शन को प्रभावित करेंगे।
“हम CVE-2023-20593 में वर्णित AMD हार्डवेयर सुरक्षा भेद्यता से अवगत हैं, जिसे Google के एक सुरक्षा शोधकर्ता टैविस ऑरमैंडी ने खोजा था, और हमने AMD और उद्योग भागीदारों के साथ मिलकर काम किया है। हमने Google प्लेटफ़ॉर्म पर भेद्यता को दूर करने के लिए काम किया है, ”Google प्रवक्ता ने प्रकाशन को बताया।