থেকে গবেষকরা ইতিবাচক প্রযুক্তিগুলি একটি নতুন দুর্বলতা চিহ্নিত করেছে (CVE-2019-0090) এটি প্ল্যাটফর্মের মূল কীটি বের করার জন্য কম্পিউটারে শারীরিক অ্যাক্সেসের অনুমতি দেয় (চিপসেট কী), যা টিপিএম (বিশ্বস্ত প্ল্যাটফর্ম মডিউল ফার্মওয়্যার) এবং ইউইএফআই সহ বিভিন্ন প্ল্যাটফর্মের উপাদানগুলিকে প্রমাণীকরণের জন্য আস্থার মূল হিসাবে ব্যবহৃত হয়।
ক্ষতিগ্রস্থতা এটি হার্ডওয়্যার এবং ফার্মওয়্যার ইন্টেল সিএসএমইতে একটি ত্রুটির কারণে ঘটেছিল, Que এটি বুট রমে অবস্থিতযা এই ত্রুটিটি কোনওভাবেই ঠিক করা যায় না বলে এটি বেশ মারাত্মক।
CVE-2019-0090 দুর্বলতা রূপান্তরিত সুরক্ষা এবং পরিচালনা ইঞ্জিনকে বোঝায় (সিএসএমই) গত পাঁচ বছরে প্রকাশিত বেশিরভাগ ইন্টেল সিপিইউতে, সেই দশম জেনার পুনরাবৃত্তিগুলি ব্যতিক্রম।
এটি একটি বড় সমস্যা কারণ এটি ক্রিপ্টোগ্রাফিক চেক সরবরাহ করে নিম্ন স্তরের যখন অন্যান্য জিনিসগুলির মধ্যে মাদারবোর্ড বুট হয়। আপনি যখন পাওয়ার স্যুইচটি এবং তারপরে যা কিছু ঘটে তার জন্য আস্থার মূলকে আঘাত করার সময় এটিই প্রথম আপনি চালিত হন।
ইন্টেল সিএসএমই পুনঃসূচনা করার সময় উইন্ডোর উপস্থিতির কারণে উদাহরণস্বরূপ, যখন স্লিপ মোড থেকে বেরিয়ে আসে।
ডিএমএর সাথে কারসাজির মাধ্যমে, ইনটেল সিএসএমই স্ট্যাটিক মেমরিতে ডেটা লেখা যেতে পারে এবং মেমরি পৃষ্ঠার টেবিলগুলি পরিবর্তন করা যেতে পারে ইন্টেল সিএসএমই ইতিমধ্যে সম্পাদনকে বিরত রাখতে, প্ল্যাটফর্মটি থেকে কীটি বের করতে এবং ইন্টেল সিএসএমই মডিউলগুলির জন্য এনক্রিপশন কীগুলির প্রজন্মের নিয়ন্ত্রণ অর্জনের জন্য ইতিমধ্যে সূচনা করেছিল। দুর্বলতার শোষণের বিশদটি পরে প্রকাশের পরিকল্পনা করা হয়েছে।
কীটি বের করার পাশাপাশি, ত্রুটিটিও সুবিধামত স্তরের শূন্যে কোড প্রয়োগের অনুমতি দেয় ইন্টেল সিএসএমই (রূপান্তরিত পরিচালনা ও সুরক্ষা ইঞ্জিন) থেকে।
ইন্টেল সমস্যাটি প্রায় এক বছর আগে লক্ষ্য করেছিল এবং মে 2019 এ আপডেট প্রকাশ করা হয়েছে ফার্মওয়্যার যে, যদিও তারা রমে দুর্বল কোডটি পরিবর্তন করতে পারে না, যদিও তারা "ব্যক্তিগত ইন্টেল সিএসএমই মডিউলগুলির স্তরে সম্ভাব্য অপারেশনাল পাথগুলি ব্লক করার চেষ্টা করছে বলে জানা গেছে।"
পজিটিভ টেকনোলজিস অনুসারে, সমাধানটি কেবল শোষণের একটি ভেক্টরকে বন্ধ করে দেয়। তারা বিশ্বাস করে যে আরও বেশি আক্রমণ করার পদ্ধতি রয়েছে এবং কিছুটির জন্য শারীরিক অ্যাক্সেসের প্রয়োজন হয় না।
"রমটিতে এই দুর্বলতাটি কাজে লাগানোর বিভিন্ন উপায় থাকতে পারে, সকলেরই শারীরিক অ্যাক্সেসের প্রয়োজন হয় না, কিছু কিছু কেবল স্থানীয় ম্যালওয়্যার সম্পর্কিত access
পজিটিভ টেকনোলজিসের প্রিন্সিপাল ওএস এবং হার্ডওয়্যার সুরক্ষা বিশেষজ্ঞ, মার্ক এরমোলভের মতে, এর অবস্থানের কারণে, ত্রুটি আইওএস ডিভাইসগুলির জন্য চেকম 8 বুট রম শোষণের মতো যা সেপ্টেম্বরে প্রকাশিত হয়েছিল এবং এটি একটি স্থায়ী জেলব্রেক হিসাবে বিবেচিত হয়।
সম্ভাব্য পরিণতিগুলির মধ্যে রয়েছে প্ল্যাটফর্মের মূল কীটি পেতে, ইন্টেল সিএসএমই উপাদান উপাদান ফার্মওয়্যার সমর্থন উল্লেখ করা হয়েছে, প্রতিশ্রুতি এনক্রিপশন সিস্টেম মিডিয়া ইনটেল সিএসএমই এর উপর ভিত্তি করে ইপিআইডি স্পোফ করার সম্ভাবনা (বর্ধিত গোপনীয়তা আইডি) আপনার কম্পিউটারকে ডিআরএম সুরক্ষা বাইপাস করতে অন্যটিতে স্থানান্তরিত করতে।
যদি পৃথক সিএসএমই মডিউলগুলি আপোস করা হয় তবে ইনটেল এসভিএন (সুরক্ষা সংস্করণ নম্বর) প্রক্রিয়াটি ব্যবহার করে তাদের সাথে যুক্ত কীগুলি পুনরায় তৈরি করার ক্ষমতা সরবরাহ করেছে।
প্ল্যাটফর্মের রুট কীটিতে অ্যাক্সেসের ক্ষেত্রে, এই প্রক্রিয়াটি কার্যকর হয় না, যেহেতু প্ল্যাটফর্মের মূল কীটি ইন্টিগ্রিটি কন্ট্রোল মান ব্লব (আইসিভিবি) এর এনক্রিপশনের জন্য একটি কী তৈরি করতে ব্যবহৃত হয়, যার প্রাপ্তি, পরিবর্তে, এটি ইন্টেল সিএসএমই ফার্মওয়্যার মডিউলগুলির যে কোনওটির কোড জালিয়াতির অনুমতি দেয়।
এটি ইন্টেলের সবচেয়ে বড় সমস্যা হতে পারে, যেহেতু পূর্ববর্তী সমস্যাগুলি যেমন স্পেক্টর বা মেল্টডাউনকে প্রশমিত করা হয়েছে তবে এটি একটি বড় সমস্যা কারণ দোষটি রমটিতে রয়েছে এবং গবেষকরা উল্লেখ করেছেন যে এই দোষটি কোনওভাবেই সমাধান করা যায় না।
এবং যদিও ইন্টেল সম্ভাব্য রুটগুলি "অবরুদ্ধ করার চেষ্টা" করতে সক্ষম হয়ে কাজ করছে, তারা যাই করুক না কেন ব্যর্থতা সমাধান করা অসম্ভব।