OSに依存しない、Intelチップの構造的欠陥を利用した攻撃

OSに依存しない、Intelチップの構造的欠陥を利用した攻撃 40

ストーリー by hylom 2008年07月16日 12時18分
詳細不明部門より

あるAnonymous Coward 曰く、

Intelチップの構造的欠陥を利用してローカル攻撃やリモート攻撃が可能であることを実演する講演が、今年10月にクアラルンプールで開催されるHITB（Hack In The Box）カンファレンスで行われるそうだ（Computer Worldの記事）。

JavaScriptやTCP/IPパケット攻撃、Javaなどを利用してこの脆弱性を突くことが可能で、講演ではJavaのよくある命令シーケンスを使ってJava Compilerを乗っ取るというデモも予定されている。この攻撃はOSにほとんど依存せず、デモはきちんとパッチがあてられたWindows XP、Vista、Windows Server 2003、Windows Server 2008、Linux及びBSDに対して行われるとのこと。なお、デモには含まれていないが、MacのIntelチップにも同様の脆弱性が存在する可能性があるとのこと（本家/.・講演概要）。

この講演を行うKris Kaspersky氏は、CPUの構造的欠陥をターゲットとしたマルウェアは既に開発されており、このようなエラッタがネットを通じた悪質な攻撃に利用されるのは時間の問題であるとしている。

脆弱性の内容はまだ公開されていないようだが、特定の命令シーケンスを実行させると想定外の挙動を示す、といったものなのだろうか？

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索40コメント Log In/Create an Account

本家の反応 (スコア:5, 興味深い)

by Anonymous Coward on 2008年07月16日 12時45分 (#1384343)

本家を「Score:5, Informative」で検索しつつ斜め読みしてみました。

仮想メモリの扱いに不備があればページ保護やセグメント保護が破られることはあだろうけど、侵入コードを書くとなったら難しいから、そこんとこを上手くやる工夫があるんじゃね [slashdot.org]とか、BIOSアップデートなんかでmicrocodeもアップデートできるよ [slashdot.org]とか、microcodeだけで解決しない問題もあるよ [slashdot.org]とか、CPUが仮想化されてる場合もあるから結局OS関係あるんじゃね [slashdot.org]とか、そんな感じの反響みたいです。

# そんだけなのでACで。
注意 (スコア:3, 参考になる)

by Anonymous Coward on 2008年07月16日 12時30分 (#1384317)

ロシアのユージン先生とは無関係の同姓の人らしいので注意。
- Re:注意 (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2008年07月16日 14時11分 (#1384415)
  
  知っています。なぜなら、ユージン先生は友人だからです。
  
  # 嘘
  
  シェア
  
  親コメント
  - Re:注意 (スコア:2, おもしろおかしい)
    
    by ryu-2 (9699) on 2008年07月16日 14時29分 (#1384425)
    
    タレントのタージンは他人です。
    
    # ごめん。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      でも、ターニャとは他人と思えない…
      
      # もうくだらないことはすべてACで
javascriptでローカル攻撃 (スコア:3, おもしろおかしい)

by Anonymous Coward on 2008年07月16日 12時46分 (#1384346)

window.alert("m9（＾Д＾）やーい田舎モン！！");
- ※悪用厳禁!!(w (スコア:1)
  
  by 127.0.0.1 (33105) on 2008年07月16日 13時24分 (#1384380) 日記
  
  攻撃ならこう書くのがいいんじゃないかと。
  ----
  for(;;){
  　　window.alert("m9（＾Д＾）やーい田舎モン！！");
  }
  ----
  
  シェア
  
  親コメント
- - Re: (スコア:0)
    
    by Anonymous Coward
    
    これから田舎はどんどん悪くなる（というかすべき）というのに、何をのん気な
    - ローカル攻撃とは (スコア:1, すばらしい洞察)
      
      by Anonymous Coward on 2008年07月16日 14時16分 (#1384419)
      
      ローカル攻撃＝地方を攻撃　？？
      
      # 「だれがうまいこと言えと」「いや、これが親コメの趣旨だから」
      ## 都市に住むにも田舎に住むにも、それぞれ同じくらいずつメリットやリスクがあるもんですよ。
      
      シェア
      
      親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    昔読んだ本によると、都市生活不適合者をイナカモンと呼ぶらしいです。
    どんな本だか忘れたけど。
    
    なので、田舎に住んでいることとイナカモンであることとは別の事みたいです。
    - Re:javascriptでローカル攻撃 (スコア:1, 参考になる)
      
      by Anonymous Coward on 2008年07月16日 14時53分 (#1384433)
      
      それ以前に「local != 田舎」なのですが。
      
      urban(都市の) ←→ rural(地方の)
      global(全世界的な) ←→ local(局所的な)
      
      # 「ローカル = 田舎」の誤解のもとは国鉄にあると思うので AC
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        コメントに反応するのは不粋かもしれませんが。
        旧国鉄の「ローカル線」というのは、仰ってるような、地域に限局した路線という意味だったと思いますよ。
        いわゆる大都市同士を結ぶ幹線とは違うっていうことで。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        だからといって山手線をローカルとは呼んでませんよね?
        
        バーチャルが「仮想」になったり
        デフォルトが「基本」になったり
        ダイエットが「減量」になったり
        まあ要するによくある話です。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        京都人は東京を田舎と呼んでるから、山手線だってローカル線だろう。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        「local!」って気合入れれば「田舎」になるかと思ってしまった。orz
エラッタ多いですね…。 (スコア:2, 参考になる)

by urdcat (35773) on 2008年07月16日 12時40分 (#1384330) ホームページ日記

Core2で128(きりが良い数字ですねえ)、Itanium で230とは、結構ありますね。
AMDのエラッタはどれくらいなんでしょう。TLBのエラッタは結構な大騒ぎになったみたいですけど。
- Re:エラッタ多いですね…。 (スコア:1, 参考になる)
  
  by Anonymous Coward on 2008年07月16日 15時45分 (#1384470)
  
  ＞AMDのエラッタはどれくらいなんでしょう。
  
  各CPUのリビジョンガイドをご覧下さい。
  例えば、Phenom/Opteron(K10)だと、ここ。（敢えてリンクはしない）
  http://www.amd.com/us-en/assets/content_type/white_papers_and_tech_docs/41322.pdf
  
  シェア
  
  親コメント
想像しかできませんが (スコア:1)

by Choro-Chan (31768) on 2008年07月16日 12時45分 (#1384345)

・BIOSで回避できるか
・チップセットで回避できないのか
・IA32、IA64に共通の問題か
・コア数に依存しないのか
・NetBurstやCoreとかのアーキテクチャに依存しないのか

詳しく知りたいのはこのくらい？
- Re:想像しかできませんが (スコア:4, 参考になる)
  
  by kei100 (5854) on 2008年07月17日 1時54分 (#1384884)
  
  あくまで、CPUのエラッタに関してだけ書くと
  
  ・BIOSで回避できるか
  Y(Pen2以降Microcode読み込みで回避可能です。BIOS以外にCPUドライバや仮想化等で対策可能。
  ただしサポート終了等で最新のエラッタ回避のMicrocodeが入ってないと実質的には回避不能。)
  ・チップセットで回避できないのか
  N(CPUエラッタなのでチップセットはあまり関係ない。特定の組み合わせで起きるなら別ですが。)
  ・IA32、IA64に共通の問題か
  Y&N(IA64のみのエラッタならIA32なら無関係等その悪用したいエラッタ依存です。)
  ・コア数に依存しないのか
  Y(コア数が違うとエラッタが消える場合は依存しますが。)
  ・NetBurstやCoreとかのアーキテクチャに依存しないのか
  N(アーキテクチャどころかリビジョン依存で環境依存は高いです、ただし数も膨大ですが。)
  
  詳しいわけじゃないので間違ってる部分もあるかもしれないですが、上記の通りかと。
  現実的には結構難しいかもしれませんが、バイナリコードを直接動かせる一般ユーザーが権限からの昇格を狙うなら結構危険かも。
  まずはバイナリコード、次にJITといった中間コード系統、最後にスクリプトでしょうか？
  
  # そのうち、一般ユーザーではJITやVM経由でしかプログラムを実行できなくなるのであった。
  # もしかして、UACの一歩先はこうなのかしら？.NET以外のアプリケーションを動かす前に警告が出るようにとか。
  
  シェア
  
  親コメント
  - YとかNとか (スコア:1)
    
    by Namany (19002) on 2008年07月19日 3時10分 (#1386373) 日記
    
    質問が否定疑問文ばっかりなので、Yes/Noの回答では紛らわしいです。
    
    >・チップセットで回避できないのか
    >N(CPUエラッタなのでチップセットはあまり関係ない。特定の組み合わせで起きるなら別ですが。)
    
    この場合「回避できません」ということで正しく「No」なのですが、
    
    >・コア数に依存しないのか
    >Y(コア数が違うとエラッタが消える場合は依存しますが。)
    
    こちらの場合は「（原則的に）依存しません」なので「No」ですよね？
    
    >・NetBurstやCoreとかのアーキテクチャに依存しないのか
    >N(アーキテクチャどころかリビジョン依存で環境依存は高いです、ただし数も膨大ですが。)
    
    こちらも「依存します」なので「Yes」ですよね？
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Pen2以降Microcode読み込みで回避可能です。
    
    Pentium Pro以降です。あと、対応できるのはマイクロコードで回避可能な固定回路で組まれていない部分の不具合と、それを呼び出すマイクロコードのパッチによって対応な問題のみです。全て、何でも対応できるわけではありません。よって、YともNとも言い切れないと思います。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ・VIAやAMDの互換プロセッサへの影響は
- Re: (スコア:0)
  
  by Anonymous Coward
  
  講演概要を流し読みするに、こういう話？
  
  CPUバグはいっぱいあるよ。
  CPUバグがふさがってないとTCPパケットをたくさん送られるだけで危険だよ。
  でもBIOSとかがきちんとバグをつぶしてくれてる保証はないし、Intelはバグがfixされてるかチェックするツールとか提供してない。
  アタックのデモするよ。OSのパッチは最新だよ。BIOSは古いけど。
以前Theo君が警告してしましたが (スコア:0)

by Anonymous Coward on 2008年07月16日 12時41分 (#1384331)

詳細がわからないのであれですが、1年前の記事 [itmedia.co.jp]を読む感じでは、CPUのエラッタでもOSにパッチが提供されるから回避できないこともないんじゃ？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  逆に言うと、Intel自らOS起動後でもマイクロコードの上書きが出来るってことを証明した形なので、回避と言う行為自体回避できる訳で…。
  
  ＃っていうか、そんなタイミングでマイクロコード書き換えが出来ると思ってなかったから、あのパッチには別の意味で驚いた記憶が
単なるJava JITコンパイラのバグの話では？ (スコア:0, 興味深い)

by Anonymous Coward on 2008年07月16日 12時43分 (#1384334)

CPUの脆弱性というのは誇大過ぎる主張では？
- Re:単なるJava JITコンパイラのバグの話では？ (スコア:1, 参考になる)
  
  by Anonymous Coward on 2008年07月17日 1時39分 (#1384877)
  
  いいえ、任意のアセンブラコードを実行した際にCPUが仕様・予想外の挙動を行うのが原因であり、JITとは別のレイヤの問題です。
  最終的に動かしたいパターンのアセンブリコードが生成できるならなんでもOK(それこそJavaScriptやTCPスタックとかでも)なんです。
  例えばPentiumのF00Fバグとか。
  
  もしも対処が必要となった場合、その特定命令が実行されないようにするルーチン追加が必要になりますが、影響範囲が広いですし、速度低下やテスト工数が爆発する気がします。
  # 速度低下の例で行くと同じくPentiumのFDIVバグとか
  
  ただし、現在のCPUはマイクロコードによってBIOS/CPUドライバレベルで対処が可能ですし、
  OSはマルチタスクが基本ですから、スイッチされたりして任意のパターンになる可能性が高いとはお世辞にも言えないかと。
  ですが、注意はやはり必要だとは思いますす。
  今後特定エラッタの脆弱性を突くようなバイトコードを各JIT向けに自動生成できる様になったら恐ろしいです。
  
  # JITを使うのは最終的に多種多様なアセンブリコードが作成＆結果が推測可能で、サンドボックス縛りがなければ同じバイトコードで多プラットフォーム対応できる点としても便利なのかなぁ？
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  scriptでも可能ってことで関係ないのでは？
  たまたま都合がよいバイナリなのでしょう．
いつも思うんですが (スコア:0)

by Anonymous Coward on 2008年07月16日 13時12分 (#1384367)

こういうエラッタの類って、実は設計者がコッソリ忍ばせてたものだったりとかしませんかね。

#↑↑↓↓←→←→BA、みたいな
- Re:いつも思うんですが (スコア:3, おもしろおかしい)
  
  by genkikko (36404) on 2008年07月16日 14時16分 (#1384417) ホームページ日記
  
  ＞#↑↑↓↓←→←→BA、みたいな
  
  ということは、バージョンアップ後にバカの一つ覚えのように同じ脆弱性を突くと、
  逆にこっちが自爆するような痛い目に会うということですね？
  
  シェア
  
  親コメント
  - Re:いつもオフトピなんですが (スコア:1)
    
    by uippi (9904) on 2008年07月16日 15時10分 (#1384440) 日記
    
    FCのグラディウスではそれでOKだったが、SFCのグラディウス（3だったかな）では
    L/Rキーに左右の部分が割り当てられていて、古いコマンドだと成功したように見せ
    かけて自爆するっていう、アレですね？（説明なげーよ）
    
    #ゼビウスの9229とかテラナツカシス。
    
    シェア
    
    親コメント
- Re:いつも思うんですが (スコア:1)
  
  by kikki (30639) on 2008年07月16日 13時52分 (#1384404)
  
  googleにも埋め込まれてたりしますね、そのコード。
  もはや隠しコマンドの代表パターンｗ
  
  シェア
  
  親コメント
Core死亡ｗｗｗｗ (スコア:0)

by Anonymous Coward on 2008年07月16日 13時18分 (#1384373)

Phenom勝つる！！！！！
- あなたはどぉれ？（-5,やめなさいってば） (スコア:0)
  
  by Anonymous Coward
  反応予測
  
  intelでもこんなことがあるんだから他社にはもっとあるに違いないintel使い続けるぞ
  
  intelでもこんなことがあるんだから他社にもあるかもしれないが、当面危ないから他使おう
  
  危ない、いますぐAMDにしよう
  
  詳細が出るのをじっと待つ
  - Re:あなたはどぉれ？（-5,やめなさいってば） (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2008年07月16日 16時33分 (#1384511)
    
    >・intelでもこんなことがあるんだから他社にはもっとあるに違いないintel使い続けるぞ
    intelにあるバグがきちんと再現できない互換CPUなんて
    完全互換じゃないじゃないか！
    っていう派。
    
    # 昔聞いた覚えがあるなぁ
    
    シェア
    
    親コメント
    - Re:あなたはどぉれ？（-5,やめなさいってば） (スコア:1)
      
      by nekopon (1483) on 2008年07月16日 17時13分 (#1384550) 日記
      
      uPD8080Aですな。
      
      シェア
      
      親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    これの影響でintelのCPUが安くならないかなwktk
    どーせ貧乏人ですよ
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    >intelでもこんなことがあるんだから
    「intelでこんなこともあろうかと」と空目して「意味が分からん」と思ってしまったorz
チップいわれても… (スコア:0)

by Anonymous Coward on 2008年07月16日 21時47分 (#1384731)

チップセットの事？
プロセッサの事？
NICの事？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

本家の反応 (スコア:5, 興味深い)

注意 (スコア:3, 参考になる)

Re:注意 (スコア:1, おもしろおかしい)

Re:注意 (スコア:2, おもしろおかしい)

Re: (スコア:0)

javascriptでローカル攻撃 (スコア:3, おもしろおかしい)

※悪用厳禁!!(w (スコア:1)

Re: (スコア:0)

ローカル攻撃とは (スコア:1, すばらしい洞察)

Re: (スコア:0)

Re:javascriptでローカル攻撃 (スコア:1, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

エラッタ多いですね…。 (スコア:2, 参考になる)

Re:エラッタ多いですね…。 (スコア:1, 参考になる)

想像しかできませんが (スコア:1)

Re:想像しかできませんが (スコア:4, 参考になる)

YとかNとか (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

以前Theo君が警告してしましたが (スコア:0)

Re: (スコア:0)

単なるJava JITコンパイラのバグの話では？ (スコア:0, 興味深い)

Re:単なるJava JITコンパイラのバグの話では？ (スコア:1, 参考になる)

Re: (スコア:0)

いつも思うんですが (スコア:0)

Re:いつも思うんですが (スコア:3, おもしろおかしい)

Re:いつもオフトピなんですが (スコア:1)

Re:いつも思うんですが (スコア:1)

Core死亡ｗｗｗｗ (スコア:0)

あなたはどぉれ？（-5,やめなさいってば） (スコア:0)

Re:あなたはどぉれ？（-5,やめなさいってば） (スコア:1, おもしろおかしい)

Re:あなたはどぉれ？（-5,やめなさいってば） (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

チップいわれても… (スコア:0)