సమాచార భద్రతా నిపుణులు ఇంటెల్ చిప్లలో కొత్త దుర్బలత్వాన్ని కనుగొన్నారు, ఇది ప్రాసెసర్ నుండి నేరుగా సున్నితమైన సమాచారాన్ని దొంగిలించడానికి ఉపయోగపడుతుంది. పరిశోధకులు దీనిని "ZombieLoad" అని పిలిచారు. ZombieLoad అనేది ఇంటెల్ చిప్లను లక్ష్యంగా చేసుకుని ఒక ప్రక్క ప్రక్క దాడి, ఇది హ్యాకర్లు తమ ఆర్కిటెక్చర్లోని లోపాన్ని ఏకపక్ష డేటాను పొందేందుకు సమర్థవంతంగా ఉపయోగించుకునేలా చేస్తుంది, అయితే ఇది ఏకపక్ష హానికరమైన కోడ్ను ఇంజెక్ట్ చేయడానికి మరియు అమలు చేయడానికి వారిని అనుమతించదు, తద్వారా దీనిని ఏకైక సాధనంగా ఉపయోగిస్తుంది. చొరబాటు మరియు రిమోట్ కంప్యూటర్లను హ్యాకింగ్ చేయడం సాధ్యం కాదు.
ఇంటెల్ ప్రకారం, ZombieLoad దాని చిప్ల మైక్రోకోడ్లో నాలుగు బగ్లను కలిగి ఉంది, పరిశోధకులు కేవలం ఒక నెల క్రితం కంపెనీకి నివేదించారు. 2011 నుండి విడుదలైన ఇంటెల్ చిప్లతో దాదాపు అన్ని కంప్యూటర్లు దుర్బలత్వానికి గురవుతాయి. ARM మరియు AMD చిప్లు ఈ దుర్బలత్వం ద్వారా ప్రభావితం కావు.
ZombieLoad అనేది మెల్ట్డౌన్ మరియు స్పెక్టర్లను గుర్తు చేస్తుంది, ఇవి గతంలో సంచలనాత్మకమైనవి, ఇది ఊహాజనిత (అడ్వాన్స్) కమాండ్ ఎగ్జిక్యూషన్ సిస్టమ్లోని బగ్ను ఉపయోగించుకుంది. స్పెక్యులేటివ్ ఎగ్జిక్యూషన్ అనేది సమీప భవిష్యత్తులో ఒక అప్లికేషన్ లేదా ఆపరేటింగ్ సిస్టమ్కు ఏమి అవసరమో కొంత వరకు అంచనా వేయడానికి ప్రాసెసర్లకు సహాయపడుతుంది, అప్లికేషన్ వేగంగా మరియు మరింత సమర్థవంతంగా పని చేస్తుంది. ప్రాసెసర్ దాని అంచనాల ఫలితాలు సరిగ్గా ఉంటే వాటిని అందిస్తుంది లేదా అంచనా తప్పు అయితే అమలు ఫలితాలను రీసెట్ చేస్తుంది. మెల్ట్డౌన్ మరియు స్పెక్టర్ రెండూ ప్రాసెసర్ నిర్వహిస్తున్న సమాచారానికి ప్రత్యక్ష ప్రాప్యతను పొందడానికి ఈ లక్షణాన్ని దుర్వినియోగం చేసే సామర్థ్యాన్ని ఉపయోగించుకుంటాయి.
ZombieLoad "జోంబీ లోడింగ్" అని అనువదిస్తుంది, ఇది బలహీనత యొక్క మెకానిజంను పాక్షికంగా వివరిస్తుంది. దాడి సమయంలో, ప్రాసెసర్ సరిగ్గా నిర్వహించగలిగే దానికంటే ఎక్కువ డేటాను అందించబడుతుంది, దీని వలన ప్రాసెసర్ క్రాష్ను నివారించడానికి మైక్రోకోడ్ నుండి సహాయాన్ని అభ్యర్థిస్తుంది. సాధారణంగా, అప్లికేషన్లు వాటి స్వంత డేటాను మాత్రమే చూడగలవు, అయితే CPU ఓవర్లోడ్ కారణంగా ఏర్పడిన బగ్ ఈ పరిమితిని దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ZombieLoad ప్రాసెసర్ కోర్ల ద్వారా ఉపయోగించే ఏదైనా డేటాను పొందగలదని పరిశోధకులు పేర్కొన్నారు. మైక్రోకోడ్ ఫిక్స్ ఓవర్లోడ్ అయినప్పుడు ప్రాసెసర్ బఫర్లను క్లియర్ చేయడంలో సహాయపడుతుందని ఇంటెల్ చెబుతోంది, అప్లికేషన్లు చదవడానికి ఉద్దేశించని డేటాను చదవకుండా నిరోధిస్తుంది.
దుర్బలత్వం ఎలా పనిచేస్తుందనే వీడియో ప్రదర్శనలో, ఒక వ్యక్తి నిజ సమయంలో ఏ వెబ్సైట్లను సందర్శిస్తున్నాడో తెలుసుకోవడానికి దీనిని ఉపయోగించవచ్చని పరిశోధకులు చూపించారు, అయితే పాస్వర్డ్లు లేదా ఉపయోగించిన యాక్సెస్ టోకెన్లను పొందేందుకు దీన్ని సులభంగా ఉపయోగించవచ్చు. చెల్లింపు లావాదేవీల కోసం వినియోగదారుల ద్వారా
మెల్ట్డౌన్ మరియు స్పెక్టర్ వలె, ZombieLoad PCలు మరియు ల్యాప్టాప్లను మాత్రమే కాకుండా క్లౌడ్ సర్వర్లను కూడా ప్రభావితం చేస్తుంది. ఇతర వర్చువల్ సిస్టమ్లు మరియు వాటి హోస్ట్ పరికరాల నుండి తప్పక వేరుచేయబడిన వర్చువల్ మెషీన్లపై ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవచ్చు. అందువల్ల, దుర్బలత్వాన్ని కనుగొన్న పరిశోధకులలో ఒకరైన డేనియల్ గ్రస్, ఇది వ్యక్తిగత కంప్యూటర్లలో మాదిరిగానే సర్వర్ ప్రాసెసర్ల నుండి డేటాను చదవగలదని పేర్కొన్నారు. వివిధ క్లయింట్ల వర్చువల్ మిషన్లు ఒకే సర్వర్ హార్డ్వేర్పై రన్ అవుతున్న క్లౌడ్ ఎన్విరాన్మెంట్లలో ఇది తీవ్రమైన సమస్య. ZombieLoadని ఉపయోగించే దాడులు ఎప్పుడూ బహిరంగంగా నివేదించబడనప్పటికీ, డేటా చౌర్యం ఎల్లప్పుడూ ఎటువంటి జాడలను వదిలివేయదు కాబట్టి అవి జరిగి ఉండవచ్చని పరిశోధకులు తోసిపుచ్చలేరు.
సగటు వినియోగదారుకు దీని అర్థం ఏమిటి? భయపడాల్సిన అవసరం లేదు. దాడి చేసే వ్యక్తి మీ కంప్యూటర్ను తక్షణం స్వాధీనం చేసుకోగలిగే దోపిడీ లేదా జీరో-డే దుర్బలత్వానికి ఇది చాలా దూరంగా ఉంది. జోంబీలోడ్ "స్పెక్టర్ కంటే సులభమైనది" కానీ "మెల్ట్డౌన్ కంటే కష్టమైనది" అని గ్రుస్ వివరించాడు - ఈ రెండింటికి నిర్దిష్ట నైపుణ్యం సెట్ మరియు అభ్యంతరకరంగా ఉపయోగించడానికి కృషి అవసరం. నిజానికి, ZombieLoadని ఉపయోగించి దాడి చేయడానికి, మీరు ఏదో ఒకవిధంగా సోకిన అప్లికేషన్ను డౌన్లోడ్ చేసి, దాన్ని మీరే అమలు చేయాలి, అప్పుడు దుర్బలత్వం దాడి చేసేవారికి మీ మొత్తం డేటాను డౌన్లోడ్ చేయడంలో సహాయపడుతుంది. అయితే, కంప్యూటర్ను హ్యాక్ చేయడానికి మరియు వాటిని దొంగిలించడానికి చాలా సులభమైన మార్గాలు ఉన్నాయి.
Intel ఇప్పటికే Intel Xeon, Intel Broadwell, Sandy Bridge, Skylake మరియు Haswell చిప్స్, Intel Kaby Lake, Coffee Lake, Whiskey Lake మరియు Cascade Lake చిప్స్, అలాగే అన్ని Atom మరియు Knights ప్రాసెసర్లతో సహా ప్రభావిత ప్రాసెసర్లను ప్యాచ్ చేయడానికి మైక్రోకోడ్ను విడుదల చేసింది. ఇతర పెద్ద కంపెనీలు కూడా తమ భాగానికి సంబంధించిన దుర్బలత్వానికి పరిష్కారాన్ని విడుదల చేశాయి. ఆపిల్, మైక్రోసాఫ్ట్ మరియు గూగుల్ ఇప్పటికే తమ బ్రౌజర్ కోసం సంబంధిత ప్యాచ్లను విడుదల చేశాయి.
టెక్ క్రంచ్కి ఇచ్చిన ఇంటర్వ్యూలో, మునుపటి ప్యాచ్ల మాదిరిగానే చిప్ మైక్రోకోడ్కు నవీకరణలు ప్రాసెసర్ పనితీరును ప్రభావితం చేస్తాయని ఇంటెల్ తెలిపింది. ఇంటెల్ ప్రతినిధి మాట్లాడుతూ, చాలా ప్యాచ్ చేయబడిన వినియోగదారు పరికరాలు 3% చెత్త-కేస్ పనితీరు నష్టాన్ని చవిచూస్తాయని, డేటా సెంటర్లకు 9% వరకు నష్టం వాటిల్లుతుందని చెప్పారు. కానీ ఇంటెల్ ప్రకారం, ఇది చాలా సందర్భాలలో గుర్తించదగినది కాదు.
అయితే, Apple ఇంజనీర్లు ఇంటెల్తో పూర్తిగా విభేదిస్తున్నారు "మైక్రోఆర్కిటెక్చరల్ డేటా శాంప్లింగ్" (అధికారిక పేరు ZombieLoad) నుండి పూర్తి రక్షణ పద్ధతి గురించి వారు హానిని పూర్తిగా మూసివేయడానికి ప్రాసెసర్లలో ఇంటెల్ హైపర్-థ్రెడింగ్ టెక్నాలజీని పూర్తిగా నిలిపివేయడం అవసరమని వారు పేర్కొన్నారు, ఇది Apple నిపుణుల పరీక్షల ప్రకారం, తగ్గించగలదు. అనేక పనులలో వినియోగదారు పరికరాల పనితీరు 40% .
ఇంటెల్ లేదా డేనియల్ మరియు అతని బృందం దుర్బలత్వాన్ని అమలు చేసే కోడ్ను ప్రచురించలేదు, కాబట్టి సగటు వినియోగదారుకు ప్రత్యక్ష మరియు తక్షణ ముప్పు ఉండదు. మరియు వెంటనే విడుదల చేసిన ప్యాచ్లు దానిని పూర్తిగా తొలగిస్తాయి, అయితే అలాంటి ప్రతి పరిష్కారము వినియోగదారులకు పనితీరులో కొంత నష్టాన్ని కలిగిస్తుంది, ఇంటెల్కు కొన్ని ప్రశ్నలు తలెత్తుతాయి.
మూలం: 3dnews.ru