パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響」記事へのコメント

  • 「PCが30%遅くなる!」という分かりやすい煽り文句が先行してWebメディアが騒ぎ立てていることもあって
    実際のところどの程度ヤバい問題なのかが分からん。

    30%とか35%とかいう数字がある一方で、実際は数%という話もあるし、
    AMD製CPUに影響があるのか無いのかどうにもハッキリしないし、
    誰でも簡単にパスワードを盗み見できるという話もあれば、実際に攻撃に転用するのはかなり難しいという話もある。
    OSのパッチで対処できるのか、できないのかも分からん。

    できれば情報が出揃うまで静観したいと思うけど、
    たぶん明日あたりまとめ系サイトでも見た上司が、早くなんとかしろ!と騒ぎ出しそうな予感・・・・

    • by Anonymous Coward on 2018年01月04日 21時53分 (#3339877)

      サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?
      少なくともハートブリードよりはまずい。

      親コメント
      • by Anonymous Coward

        あそこまで簡単に情報を取れるの?
        SSL heartbleedはPoC時点でヤバいのがわかったけど
        今回のが本当にそこまで簡単に悪用できるのかは(まだ)疑問なのでは?

        • by Anonymous Coward
      • by Anonymous Coward

        > サーバが30%遅くなる対処方しかないとしてもその対処方を取る他ないといえばどれくらいやばいかわかるだろ?
        > 少なくともハートブリードよりはまずい。

        そもそもその前提自体が誇張されまくった怪情報そのものなので、まったく意味ないよ

      • by Anonymous Coward

        ハートブリードは不正なデータ送りつけるだけで、リモートから攻撃成功してたから攻撃の容易さでいったら最上位だよね。
        こっちはまず攻撃対象と同じハードウェア上で任意のコードを実行させないといけない。
        仮想マシン単位でサーバーを貸し出すクラウドサービスとかでは致命的な問題だけどね。

        • by Anonymous Coward on 2018年01月05日 18時01分 (#3340257)

          ハートブリードはバッファの近くの特定メモリ領域しか取得できないから、おいしいデータがとれるかどうかは運しだい。
          ただしリモートから攻撃できるから大事に。

          今回は、同一マシン上で動いていなければいけないけれど、
          2Kbyte/sec の速度で、主記憶の全メモリを見ることが可能。

          親コメント
          • by Anonymous Coward

            昔のモデムの速度ぐらいだなーと思って電卓叩いてみたら、サーバに乗ってそうな128GBメモリで全部読むのに2年ぐらいかかる計算になる。
            いや、全部読む必要ないのは分かってるけどね。

            • by Anonymous Coward

              最近のこの手の奴は効率はあんまりハードルにならんのだよね。
              山ほどのターゲットの中から偶にマグレで拾えれば良いだけだし。

ソースを見ろ -- ある4桁UID

処理中...