Intel CPUの脆弱性が2件修正される 35
ストーリー by nabeshin
修正されないままのマシンは残り続けそう 部門より
修正されないままのマシンは残り続けそう 部門より
Anonymous Coward 曰く、
Intel製CPUに脆弱性があり、2件の問題が修正され、12件がまだ残っているという記事が8月11日のComputerworldに掲載されている。この修正はOSに依存しない、Intelチップの構造的欠陥を利用した攻撃のときの記事を受けたものと思われ、今回の記事では、
とのこと。同氏は、2008年10月27日から30日にマレーシアで開催される予定のHITBSecConf2008において、この脆弱性を突いたPoCコードのデモンストレーションを行う予定であったが、業界関係者の要求に応じて、技術的詳細は明らかにするが、コードの重要な部分を公開しないことにしているそうだ。カスペルスキー氏は、Computerworld米国版の取材に対し、CPUの脆弱性について1カ月近く前からIntelと連絡を取り合っており、同氏が指摘した複数の脆弱性のうち、2件の重大な脆弱性を修正したと同社から報告を受けた
1ヶ月で直るってどういうことだ (スコア:3, すばらしい洞察)
Intelの Errata に書いてあるものを利用して攻撃して見せましょう、と言ってるんだから。
と言うことは、Errata上は「バグがあるのは判っている、直せない」になってたってことだ。
直すの自体はマイクロコードを更新するだけで済むだろうし、それなら Windows Update やら BIOS update やらで直せるんだろうが、ここまで外圧を食らってつつかれないと直そうとしないってのはどういうコスト・リスク分析の結果なのか、ちょっと白状しなさいと Intel に言いたくなる。
fjの教祖様
Re: (スコア:0)
Re: (スコア:0)
>直すの自体はマイクロコードを更新するだけで済むだろうし、
>それなら Windows Update やら BIOS update やらで直せるんだろうが、
>ここまで外圧を食らってつつかれないと直そうとしないってのは
>どういうコスト・リスク分析の結果なのか、ちょっと白状しなさいと Intel に言いたくなる。
むしろ必要に迫られなければ対応しないのは商売の基本(というか基本願望)だと思うけど?
#これが分かってない人は過労死。
Re:1ヶ月で直るってどういうことだ (スコア:2, 興味深い)
どうも根本的に何も判っていないようだね。経済論を振り回せばなんでも隠せると思ってはいけないよ!?
この手のバグは必ず『深刻度』を見積もる。
見積もって「大した事ないな」となったら対応しない。これは別に不思議ではない。
問題は「一般命令に存在するそのバグを駆使するだけで、特権モードでの実行権限が取得できる」類のバグをたいしたことがないと見積もった、そこの所だ。
.
何度も言うがこの障害は Errata に掲載されていたのだ。Errataに掲載されていた性質だけで特権権限を取得できる事が判ると言うことだ。
特権権限を取得できてしまうバグのどこをどう評価したら「大したことがない」になるのか!?
リスクに対する見積もり力の無さは、そのままセキュリティシステムに利用する事の危うさを意味する。と同時に、システムデザイン力の無さをも現す。
私の指摘しているのはそういうことだ。
fjの教祖様
Re: (スコア:0, 荒らし)
>Errataに掲載されていた性質だけで特権権限を取得できる事が判ると言うことだ。
「分かるかどうか」自体が見る人間に依る、ということが「分かる」かな?
ふと偶然に「分かる」こともあれば、さんざんに検証してみて「分かる」こともある。
逆に「分からない」こともあるし、世の中の基本は「分からない」から始まる。
「分かる」ことなんて世界の中のほんの一握りに過ぎないし、
「分かろうとする」ことには当然時間も金もかかる。じゃあどれを「分かる」か。
そこで「すべてを分かれ」を要求するのはリスクマネジメントでも何でもない。
単なるお子様の脳内妄想、「僕は神様なんだ、なんでもできるんだ」に過ぎない。
Re:1ヶ月で直るってどういうことだ (スコア:1)
判らない奴がプロセッサつくりのマネージメントなんぞやってはいけない。
fjの教祖様
Re: (スコア:0)
これで重要度のより高い問題の修正が遅れたわけだが、なんとも思わないのかね?
Re:1ヶ月で直るってどういうことだ (スコア:1)
fjの教祖様
Re: (スコア:0)
その「必要に迫られた」時点で判明時よりも随分とオオゴトになってしまい、対応期限も切羽詰ってえらい事にしてしまう「リスクマネジメント」ができない偉い人が多いような気がします。
#迫られない段階なら余裕あったりすることもあるんですけどね……。
ついつい先延ばしで楽な方に流れるのは担当者個人レベルでも良くある事なんで、まあ自戒しないとなんですが。
コメントに反応するのも無粋なんですが、ちゃんと危険度評価できないとぷちデスマを引き寄せちゃいますよ。
Re: (スコア:0)
>対応期限も切羽詰ってえらい事にしてしまう
>「リスクマネジメント」ができない偉い人が多いような気がします。
>#迫られない段階なら余裕あったりすることもあるんですけどね……。
「マネジメントの結果として、一つか二つは大事になる」があっても
「マネジメントの失敗」とは限らない。
すべてのリスクを完璧に対応しろ、こそよっぽどマネジメントになっていないお子様の妄想に過ぎないわけで、
一つの枝葉だけ捕まえてマネジメントと叫ぶのは単なる道化だね。
#これが分からない人は一生下働き。
Re: (スコア:0)
えー「重大性を見誤ったインシデントが炎上」は(多発性でなければ)マネジメントの破綻ではなく個々のインシデントでのミスですが、「放置しておいても偶にしか炎上しないからOK」てのはマネジメントの欠如ですよね。
どうにも#1403020や#1403059の前提は後者のように読めるのですが……。
なんというかこれ以上は「釈迦に説法」ということのようなので、もしいらっしゃるなら目を通された方々の判断にお任せします。
#私なら一生を待つことなく転職します:p
Re: (スコア:0)
Re: (スコア:0)
CPUなんてシステムの根幹の根幹なので、修正が「正しい」ものなのかの検証には膨大な手間がかかることが予想されます。
修正自体がいかに簡単で正しそうに見えても、修正の影響がどう及ぶかを入念に検査しなければならないので、そんなに気軽にホイっといじれるもんじゃないんですよ(多分)。
Re:1ヶ月で直るってどういうことだ (スコア:1)
それって、「金も時間もかかるしめんどくさいから直せないってことにしておこう」を言い直しただけでは? 脆弱性を放置したことの説明でそれを言ったらただの居直りでしょう。
LIVE-GON(リベゴン)
単純に「カスペルスキー氏」と言ったら (スコア:0)
例のパッケージと普段が全然違うのに絶望した!AC
では、単純に「ノートン氏」と言ったら (スコア:0)
通(自称)なら、アメリカ皇帝ジョシュア・ノートン一世陛下をまず挙げろ。
#いや、関係ないからそれ。
Re: (スコア:0)
やっと夏休みでお子様多いところで寸劇やってくれたぞ!
(悪の幹部と一緒に楽屋入りするのはヤメロ)
Re: (スコア:0)
Stephanを想起するのが逸般人。
修正ってあーた (スコア:0)
それとも今後出荷されるロットが順次修正済みになるって話?
まさか Core i7 以降の新製品だけ対応しましたとか?
ISPで対処すれば大丈夫、てのも
そんなに優秀なISPばかりじゃないだろうし、
LAN内の別のマシンや、ひょっとしたら自分自身から
攻撃パケット乱射されないとも限らないし、
ホントに大丈夫なんでしょーな?
Re:修正ってあーた (スコア:1, 参考になる)
CPUのマイクロコードはパッチ当てができる構造になっています。
主にBIOSがインテル提供のパッチを内蔵していて起動時にパッチします。
WindowsからでもドライバーでCPUパッチ可能だそうです。
マイクロコードを使った修正のOS対応状況 (スコア:2)
>IA-32 Microcode Update Driver: v1.14a
>microcode: CPU0 updated from revision 0x32 to 0x38, date = 09192007
マイクロコードのアップデートが行われているようです。
(実体はこれ /etc/init.d/microcode_ctl, /etc/firmware/microcode.dat)
microcodeの更新があった場合、WindowsではWindows update, Linuxなら
yum update等で更新出来るかと思いますが…
他のOSの対応状況はどうなってるんでしょうね? (調べたわけではありませんが、
全く対応なされてないのではと思ってます。)
Re:マイクロコードを使った修正のOS対応状況 (スコア:1)
>current - マイクロコードの更新やcpuidデータの取得,マシンに特有のレジスタへの
>読み書きといった低レベル機能へアクセスするための擬似デバイスcpuctl(4)が新しく
>追加されました。cpuctl(4)擬似デバイスをユーザランドから制御するユーティリティ
>としてcpucontrol(8)も追加されています。
>http://gihyo.jp/admin/clip/01/fdt/200808/13
だそうです。
Re: (スコア:0)
>全く対応なされてないのではと思ってます。)
ふつーはBIOSで対応するんじゃないんですか?
Re: (スコア:0)
Re:修正ってあーた (スコア:1)
P6以降マイクロコードの修正はBIOS経由で出来るはずなので多分安心
#パッチに含まれてないとか言うことがない限り‥
Re: (スコア:0)
Re: (スコア:0)
今はBIOSやOSからCPUのマイクロコードにパッチをあてられる時代ですよ。
Re: (スコア:0)
一部はWindowsからパッチ当ててホイで、済む問題 [microsoft.com]だったりします。
#逆に言うと、カーネルモードからマイクロコードパッチが行えることを実証してしまった問題だったりしますがw
後で簡単にパッチが当てられるようになって、検証が手抜きになったって雰囲気がw
#なんか最近、そういうモノ多いよねぇ
Re:修正ってあーた (スコア:1)
>#なんか最近、そういうモノ多いよねぇ
客の方もとにかく早く安く出せと言うようになったからね。アップグレードサイクルも短くなって開発に長期間かけられないし。
要求に応えてるだけかと。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
B2 (スコア:0)
しかも、B2より深刻だしw
オフラインマシンはどうするよ? (スコア:0)
オフィスにも、自宅の二台目、三台目にもよくあるパターンだと思いますが、
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
組み込み用途とかならともかく、そんな普通のPCならちゃんとアップデートしなさい、で終わり。