விசித்திரமாக எதுவும் இல்லை, பூஜ்ஜிய நாடகங்கள் ... ஆனால் இன்னொன்று கண்டுபிடிக்கப்பட்டுள்ளது பாதிப்பு, CVE-2020-10713, இது GRUB2 துவக்க ஏற்றி மற்றும் பாதுகாப்பான துவக்கத்தை பாதிக்கிறது. எக்லிப்சியம் ஆராய்ச்சி குழுவின் வெளியீடே இந்த கண்டுபிடிப்பின் பின்னணியில் இருந்ததோடு அவர்கள் பூட்ஹோல் என்று பெயரிட்டுள்ளனர். மைக்ரோசாப்ட் கூட அதன் பாதுகாப்பு போர்டல் எச்சரிக்கை மற்றும் ஒரு சிக்கலான தீர்வு இருப்பதாகக் கூறி ஒரு பதிவை வெளியிட்டுள்ளது.
பூட்ஹோல் இது ஒரு இடையக வழிதல் பாதிப்பு ஆகும், இது GRUB2 உடன் பில்லியன் கணக்கான சாதனங்களையும், GRUB2 இல்லாத பிறவற்றையும் பாதிக்கிறது, அவை விண்டோஸ் போன்ற பாதுகாப்பான துவக்கத்தைப் பயன்படுத்துகின்றன. சி.வி.எஸ்.எஸ் வகைப்பாட்டில் இது 8.2-ல் 10 ஆக மதிப்பெண் பெற்றுள்ளது, அதாவது இது அதிக ஆபத்து என்று பொருள். பாதுகாப்பான துவக்கத்தை இயக்கியிருந்தாலும் கூட, துவக்க செயல்பாட்டின் போது அறிமுகப்படுத்தப்பட்ட தன்னிச்சையான குறியீட்டை (தீம்பொருள் உட்பட) இயக்க ஒரு தாக்குபவர் இதைப் பயன்படுத்திக் கொள்ள முடியும்.
எனவே சாதனங்கள் நெட்வொர்க், சேவையகங்கள், பணிநிலையங்கள், டெஸ்க்டாப்புகள் மற்றும் மடிக்கணினிகள், அதே போல் எஸ்.பி.சி கள், சில மொபைல் சாதனங்கள், ஐஓடி சாதனங்கள் போன்ற பிற சாதனங்களும் பாதிக்கப்படும்.
மேலும், எக்லிப்சியத்தின் படி, அது இருக்கும் தணிக்க சிக்கலானது அதற்கான தீர்வைக் கண்டுபிடிக்க நேரம் எடுக்கும். இதற்கு துவக்க ஏற்றிகள் பற்றிய ஆழமான ஆய்வு தேவைப்படும் மற்றும் விற்பனையாளர்கள் UEFI CA கையொப்பமிட்ட துவக்க ஏற்றிகளின் புதிய பதிப்புகளை வெளியிட வேண்டும். பூட்ஹோலை வீழ்த்த மைக்ரோசாஃப்ட் ஓப்பன் சோர்ஸ் மற்றும் கூட்டு சமூகத்தில் உள்ள டெவலப்பர்களுக்கும் பிற பாதிக்கப்பட்ட கணினி உரிமையாளர்களுக்கும் இடையிலான ஒருங்கிணைந்த முயற்சிகள் தேவைப்படும்.
உண்மையில், அவர்கள் ஒரு செய்துள்ளனர் பணி பட்டியல் GRUB2 இல் பூட்ஹோலை சரிசெய்ய முடியும் மற்றும் உங்களுக்கு இது தேவை:
- GRUB2 ஐப் புதுப்பிக்கவும், பாதிப்பை அகற்றவும்.
- லினக்ஸ் விநியோகங்களின் டெவலப்பர்கள் மற்றும் பிற விற்பனையாளர்கள் தங்கள் பயனர்களுக்கான புதுப்பிப்புகளை வெளியிடுகிறார்கள். GRUB2, நிறுவிகள் மற்றும் ஷிம்கள் மட்டத்தில் இரண்டும்.
- புதிய ஷிம்களை மூன்றாம் தரப்பினருக்காக மைக்ரோசாஃப்ட் யுஇஎஃப்ஐ சிஏ கையொப்பமிட வேண்டும்.
- இயக்க முறைமைகளின் நிர்வாகிகள் வெளிப்படையாக புதுப்பிக்க வேண்டும். ஆனால் அதில் நிறுவப்பட்ட கணினி, நிறுவி படங்கள் மற்றும் அவை உருவாக்கிய மீட்பு அல்லது துவக்க மீடியா ஆகிய இரண்டையும் கொண்டிருக்க வேண்டும்.
- துவக்கத்தின் போது குறியீடு செயல்படுத்தப்படுவதைத் தடுக்க UEFI திரும்பப்பெறுதல் பட்டியல் (dbx) ஒவ்வொரு பாதிக்கப்பட்ட கணினியின் நிலைபொருளிலும் புதுப்பிக்கப்பட வேண்டும்.
மோசமான விஷயம் என்னவென்றால், ஃபார்ம்வேருக்கு வரும்போது, நீங்கள் கவனமாக இருக்க வேண்டும் மற்றும் சிக்கல்கள் ஏற்படாமல் கவனமாக இருக்க வேண்டும் மற்றும் கணினிகள் தங்கியிருக்க வேண்டும் செங்கல் பயன்முறையில்.
இந்த நேரத்தில், Red Hat, HP, Debian, SUSE, Canonical, Oracle, Microsoft, VMWare, Citrix, UEFI Security Response Team மற்றும் OEM கள், மற்றும் மென்பொருள் வழங்குநர்கள், அவர்கள் அதை தீர்க்க ஏற்கனவே வேலை செய்கிறார்கள். இருப்பினும், முதல் திட்டுகளைப் பார்க்க நாம் காத்திருக்க வேண்டியிருக்கும்.
புதுப்பிப்பு
ஆனால் டெவலப்பர்கள் மற்றும் சமூகத்தின் செயல்திறனை குறைத்து மதிப்பிடுவது முட்டாள்தனமாக இருக்கும். ஏற்கனவே பல இணைப்பு வேட்பாளர்கள் உள்ளனர் Red Hat, Canonical போன்ற நிறுவனங்களிலிருந்து வரும் அதைத் தணிக்க. அவர்கள் இந்த சிக்கலை முதன்மை முன்னுரிமையாகக் கொடியிட்டுள்ளனர், மேலும் அது செலுத்துகிறது.
பிரச்சினை? பிரச்சனை என்னவென்றால், இந்த திட்டுகள் கூடுதல் சிக்கல்களை ஏற்படுத்துகின்றன. மெட் டவுன் மற்றும் ஸ்பெக்டர் திட்டுகளுடன் என்ன நடந்தது என்பதை இது எனக்கு நினைவூட்டுகிறது, சில நேரங்களில் தீர்வு நோயை விட மோசமானது ...