काहीही विचित्र नाही, शून्य नाटक ... परंतु आणखी एक सापडला आहे अगतिकता, सीव्हीई -2020-10713, जी GRUB2 बूटलोडर आणि सुरक्षित बूटला प्रभावित करते. इक्लेप्सियम संशोधन कार्यसंघाचे प्रकाशन म्हणजे या शोधामागील काय आहे आणि त्यांनी ज्याला बूटहोल असे नाव दिले आहे. मायक्रोसॉफ्टनेदेखील त्याच्या सुरक्षिततेच्या पोर्टलवर एंट्री प्रकाशित केली आहे आणि असा दावा केला आहे की याक्षणी एक गुंतागुंत उपाय आहे.
बूटहोल ही एक बफर ओव्हरफ्लो असुरक्षा आहे जी GRUB2 सह कोट्यावधी उपकरणांवर आणि GRUB2 शिवाय इतरांना देखील प्रभावित करते जी विंडोज सारख्या सुरक्षित बूटचा वापर करतात. सीव्हीएसएस सिस्टमच्या वर्गीकरणात हे 8.2 पैकी 10 इतके गुण नोंदवित आहे, याचा अर्थ असा आहे की त्याला जास्त धोका आहे. आणि हे असे आहे की बूट प्रक्रियेदरम्यान सिक्युअर बूट सक्षम केल्यावर देखील सुरू केलेला अनियंत्रित कोड (मालवेयरसह) चालविण्यात सक्षम होण्यासाठी आक्रमणकर्ता त्याचा फायदा घेऊ शकेल.
खूप डिव्हाइसेस नेटवर्क, सर्व्हर, वर्कस्टेशन्स, डेस्कटॉप आणि लॅपटॉप तसेच एसबीसी, विशिष्ट मोबाइल डिव्हाइस, आयओटी डिव्हाइस इत्यादी इतर डिव्हाइस प्रभावित होतील.
शिवाय, इक्लेप्सियमच्या मते, ते होईल कमी करण्यासाठी गुंतागुंत आणि यावर तोडगा काढण्यास वेळ लागेल. यासाठी बूटलोडर्सचे सखोल पुनरावलोकन आवश्यक आहे आणि विक्रेत्यांनी यूईएफआय सीए द्वारा स्वाक्षरीकृत बूटलोडर्सच्या नवीन आवृत्त्या सोडल्या पाहिजेत. मायक्रोसॉफ्ट ओपन सोर्समधील विकसक आणि बूटहोल खाली आणण्यासाठी सहयोगी समुदाय आणि इतर प्रभावित सिस्टम मालक यांच्यात समन्वित प्रयत्न करतील.
खरं तर, त्यांनी ए कार्य यादी GRUB2 मध्ये बूटहोल निश्चित करण्यात सक्षम होण्यासाठी आणि आपल्याला हे आवश्यक आहे:
- GRUB2 अद्यतनित करण्यासाठी पॅच आणि असुरक्षा दूर करण्यासाठी.
- लिनक्स वितरण आणि इतर विक्रेते विकसक त्यांच्या वापरकर्त्यांसाठी अद्यतने प्रकाशित करतात. दोन्ही GRUB2 च्या पातळीवर, इंस्टॉलर आणि शिम.
- नवीन शिम्स तृतीय पक्षासाठी मायक्रोसॉफ्ट यूईएफआय सीए द्वारा स्वाक्षरीकृत असणे आवश्यक आहे.
- ऑपरेटिंग सिस्टमच्या प्रशासकांना निश्चितपणे अद्यतनित करावे लागेल. परंतु यात स्थापित केलेली सिस्टम, इंस्टॉलर प्रतिमा आणि त्यांनी तयार केलेली पुनर्प्राप्ती किंवा बूट करण्यायोग्य मीडिया दोन्ही समाविष्ट असणे आवश्यक आहे.
- बूट दरम्यान कोड अंमलबजावणी टाळण्यासाठी प्रत्येक प्रभावित प्रणालीच्या फर्मवेअरमध्ये यूईएफआय रेवोकेशन सूची (डीबीएक्स) देखील अद्यतनित करणे आवश्यक आहे.
सर्वात वाईट गोष्ट अशी आहे की जेव्हा हे फर्मवेअरवर येते तेव्हा आपण समस्या उद्भवू नयेत याबद्दल सावधगिरी बाळगली पाहिजे आणि संगणक राहतील वीट मोडमध्ये.
याक्षणी, रेड हॅट, एचपी, डेबियन, एसयूएसई, कॅनोनिकल, ओरॅकल, मायक्रोसॉफ्ट, व्हीएमवेअर, सिट्रिक्स, यूईएफआय सिक्युरिटी रिस्पॉन्स टीम आणि ओएमएस तसेच सॉफ्टवेअर प्रदाते यासारख्या कंपन्या, ते सोडवण्यासाठी आधीच काम करत आहेत. तथापि, आम्हाला प्रथम पॅचेस पहाण्यासाठी प्रतीक्षा करावी लागेल.
अद्यतनित करा
परंतु विकासक आणि समुदायाची प्रभावीता कमी करणे मूर्खपणाचे ठरेल. आधीच अनेक पॅच उमेदवार आहेत ते कमी करण्यासाठी जे रेड हॅट, कॅनॉनिकल इत्यादी कंपन्यांकडून येत आहेत. त्यांनी या समस्येस प्रथम प्राधान्य म्हणून ध्वजांकित केले आहे आणि ते फेडले आहे.
समस्या? समस्या अशी आहे की या पॅचेसमुळे अतिरिक्त समस्या उद्भवत आहेत. हे मला मेटल्डऊन आणि स्पेक्टर पॅचचे काय झाले याची आठवण करून देते, की कधीकधी हा उपाय रोगापेक्षा वाईट असतो ...