パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

AMD CPUの脆弱性問題、AMD株価の操作を狙って公表したのではないかという疑いが出る」記事へのコメント

    • 誤訳ではありませんよ.原文も同様の主張です

      When was the last time you saw a security advisory that was basically 'if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem?'

      誤訳と勘違いされているようですが,Linusが言いたいことは
      「PCにウイルスをインストールしたらPCの挙動が変わってしまった.これはセキュリティーホールだ.ケシカラン!」と騒ぐ人は居ないよね?同じようにBIOSやマイクロコードだってそれが置き換え可能なこと自体はセキュリティホールとは言わないよ.ってことだと思います.

      つまり至極当然のことしか言ってません.

      • by Anonymous Coward

        BIOSやマイクロコードはそう簡単に置き換わらないんだがなぁ…

        • by Anonymous Coward

          管理者権限があれば簡単でしょ?

          #元々管理者権限があれば…って脆弱性報告なんだし

          • by Anonymous Coward

            正しく設定されているのなら管理者権限あっても書き換えられませんよ?

            • Intelのシステムでも書き換えできますがね。
              # BIOSベンダーのツール使えばBIOS ROMの内容読めるし、書ける。
              # M/Bベンダーが"一般に"配布してるし。

              こんなもんを脆弱性と言われたらほぼ全てのコンピューターに同じ脆弱性がある。
              言ってることがおかしいって気付かないものですかね?
              # ワンタイムROMだったら書き換えできないねー。

              • by Anonymous Coward

                それはあなた、あるいはあなたの使うベンダーが適切にセキュリティ機能を有効化していないだけでしょう?

                UEFI/BIOSには不正な書き換えを防止する機能が組み込まれていますよ。
                今回の脆弱性はそれを迂回できるから問題なんですよ。

              • おう、AMD関係ないなそれ。
                そもそも迂回するために書き換えないと使えない脆弱性だからな。
                そのために物理アクセスと管理者権限が必要な脆弱性ってなんなんだよ。
                ほとんどのコンピューターは物理アクセスと管理者権限持ってたらなんだった出来るだろうがよ。
                おかしな事言ってると気付けよ。

                親コメント
              • by Anonymous Coward

                まず物理アクセスは必要ありません。
                "迂回するために書き換える"のではなく、書き換えるために迂回するんですよ?

                なにか勘違いしていませんか?
                また再度書きますが"物理アクセス"は必要ありません。

              • by Anonymous Coward

                その迂回のために、管理者権限下でCTS Labs.がMASTERKEYと呼ぶ手法により改ざん済みBIOS自体のアップデートと再起動が必要となるのでは?
                マルウェアでユーザーを誘導して、ユーザー自身にアップデートさせる方法以外に現実的なシナリオはあるのでしょうか。

                脆弱性といえばそうでしょうが、仮想環境下から一般ユーザー権限で攻撃できるSpectreやMeltdownと同レベルで騒がれるべき問題ではないと思います。

              • by Anonymous Coward

                管理者権限を奪取しているのならば、不正なUEFIをダウンロードさせることも不正に適用することも再起動も可能になります。
                アップデートをユーザーにさせる必要はありません。

                MASTERKEYだけならBIOS_CNTLレジスタや電子署名で防ぐことは可能かもしれませんね。

                "SpectreやMeltdownと同レベルで騒がれるべき問題ではない"というのはまったく持って正しい意見だと思います。

                今回の騒動の最大の問題は脆弱性を発表した会社の内容を検証・確認もせず鵜呑みにし、適切な内容を報道できなかったメディアにあります。
                それどころか元の発表に無かったデマ(物理アクセスが必要云々)を付け加えるなど言語道断です。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...