कुछ भी अजीब नहीं, शून्य नाटक... लेकिन एक और खोज लिया गया है भेद्यता, CVE-2020-10713, GRUB2 बूटलोडर और सिक्योर बूट को प्रभावित करती है. इस खोज के पीछे एक्लिप्सियम अनुसंधान टीम का एक प्रकाशन है और जिसे उन्होंने बूटहोल नाम दिया है। यहां तक कि माइक्रोसॉफ्ट ने भी अपने सुरक्षा पोर्टल पर इसकी चेतावनी देते हुए एक प्रविष्टि प्रकाशित की है और आरोप लगाया है कि इस समय एक जटिल समाधान है।
बूटहोल एक बफर ओवरफ़्लो भेद्यता है जो GRUB2 वाले अरबों डिवाइसों और यहां तक कि गैर-GRUB2 डिवाइसों को प्रभावित करती है जो विंडोज़ जैसे सिक्योर बूट का उपयोग करते हैं। सीवीएसएस प्रणाली वर्गीकरण में इसे 8.2 में से 10 अंक दिए गए हैं, जिसका अर्थ है कि यह उच्च जोखिम है। और बात यह है कि एक हमलावर इसका फायदा उठाकर बूट प्रक्रिया के दौरान पेश किए गए मनमाने कोड (मैलवेयर सहित) को निष्पादित करने में सक्षम हो सकता है, यहां तक कि सुरक्षित बूट सक्षम होने पर भी।
ऐसा उपकरणों नेटवर्क नेटवर्क, सर्वर, वर्कस्टेशन, डेस्कटॉप और लैपटॉप, साथ ही अन्य डिवाइस जैसे एसबीसी, कुछ मोबाइल डिवाइस, आईओटी डिवाइस आदि प्रभावित होंगे।
साथ ही, एक्लिप्सियम के अनुसार, यह होगा कम करना जटिल है और इसका समाधान ढूंढने में समय लगेगा. इसके लिए बूटलोडर्स के गहन संशोधन की आवश्यकता होगी और विक्रेताओं को यूईएफआई सीए द्वारा हस्ताक्षरित बूटलोडर्स के नए संस्करण जारी करने चाहिए। बूटहोल पर नकेल कसने के लिए माइक्रोसॉफ्ट सहयोगी और ओपन सोर्स समुदाय डेवलपर्स और अन्य प्रभावित सिस्टम मालिकों के बीच समन्वित प्रयासों की आवश्यकता होगी।
वास्तव में, उन्होंने एक बनाया है कार्य सूची GRUB2 में बूटहोल को ठीक करने के लिए आपको निम्न की आवश्यकता होगी:
- GRUB2 को अद्यतन करने और भेद्यता को समाप्त करने के लिए पैच।
- लिनक्स वितरण के डेवलपर्स और अन्य विक्रेता अपने उपयोगकर्ताओं के लिए अपडेट जारी करते हैं। GRUB2 स्तर पर, इंस्टॉलर और शिम दोनों।
- नए शिम्स पर तृतीय-पक्ष Microsoft UEFI CA द्वारा हस्ताक्षर किए जाने चाहिए।
- ऑपरेटिंग सिस्टम प्रशासकों को जाहिर तौर पर अपग्रेड करना होगा। लेकिन इसमें स्थापित सिस्टम, इंस्टॉलर छवियां और पुनर्प्राप्ति या बूट करने योग्य मीडिया दोनों शामिल होने चाहिए जो उन्होंने बनाया है।
- बूट समय पर कोड निष्पादन को रोकने के लिए प्रत्येक प्रभावित सिस्टम के फर्मवेयर में यूईएफआई निरस्तीकरण सूची (डीबीएक्स) को भी अद्यतन करने की आवश्यकता होगी।
सबसे बुरी बात यह है कि जब फ़र्मवेयर की बात आती है तो आपको सावधानी से चलना होगा और सतर्क रहना होगा ताकि समस्याओं का सामना न करना पड़े और कंप्यूटर बने रहें ब्रिक्ड मोड में.
फिलहाल, रेड हैट, एचपी, डेबियन, एसयूएसई, कैनोनिकल, ओरेकल, माइक्रोसॉफ्ट, वीएमवेयर, सिट्रिक्स, यूईएफआई सिक्योरिटी रिस्पांस टीम और ओईएम निर्माता, साथ ही सॉफ्टवेयर विक्रेता जैसी कंपनियां, वे इसे ठीक करने के लिए पहले से ही काम कर रहे हैं।. हालाँकि, हमें पहला पैच देखने के लिए इंतज़ार करना होगा।
अद्यतन
लेकिन डेवलपर्स और समुदाय की प्रभावशीलता को कम आंकना बेवकूफी होगी। पहले से कई पैच उम्मीदवार हैं इसे कम करने के लिए, वे रेड हैट, कैनोनिकल आदि कंपनियों से आ रहे हैं। उन्होंने इस मुद्दे को सर्वोच्च प्राथमिकता के रूप में चिह्नित किया है और इसका लाभ मिल रहा है।
समस्या? समस्या यह है कि ये पैच अतिरिक्त समस्याएं पैदा कर रहे हैं। यह मुझे याद दिलाता है कि मेटलडाउन और स्पेक्टर के पैच के साथ क्या हुआ था, कि कभी-कभी इलाज बीमारी से भी बदतर होता है...