アカウント名:
パスワード:
原文読んでないけど100%誤訳でしょ
誤訳ではありませんよ.原文も同様の主張です
When was the last time you saw a security advisory that was basically 'if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem?'
誤訳と勘違いされているようですが,Linusが言いたいことは「PCにウイルスをインストールしたらPCの挙動が変わってしまった.これはセキュリティーホールだ.ケシカラン!」と騒ぐ人は居ないよね?同じようにBIOSやマイクロコードだってそれが置き換え可能なこと自体はセキュリティホールとは言わないよ.ってことだと思います.
つまり至極当然のことしか言ってません.
BIOSやマイクロコードはそう簡単に置き換わらないんだがなぁ…
管理者権限があれば簡単でしょ?
#元々管理者権限があれば…って脆弱性報告なんだし
正しく設定されているのなら管理者権限あっても書き換えられませんよ?
Intelのシステムでも書き換えできますがね。# BIOSベンダーのツール使えばBIOS ROMの内容読めるし、書ける。# M/Bベンダーが"一般に"配布してるし。
こんなもんを脆弱性と言われたらほぼ全てのコンピューターに同じ脆弱性がある。言ってることがおかしいって気付かないものですかね?# ワンタイムROMだったら書き換えできないねー。
それはあなた、あるいはあなたの使うベンダーが適切にセキュリティ機能を有効化していないだけでしょう?
UEFI/BIOSには不正な書き換えを防止する機能が組み込まれていますよ。今回の脆弱性はそれを迂回できるから問題なんですよ。
おう、AMD関係ないなそれ。そもそも迂回するために書き換えないと使えない脆弱性だからな。そのために物理アクセスと管理者権限が必要な脆弱性ってなんなんだよ。ほとんどのコンピューターは物理アクセスと管理者権限持ってたらなんだった出来るだろうがよ。おかしな事言ってると気付けよ。
まず物理アクセスは必要ありません。"迂回するために書き換える"のではなく、書き換えるために迂回するんですよ?
なにか勘違いしていませんか?また再度書きますが"物理アクセス"は必要ありません。
その迂回のために、管理者権限下でCTS Labs.がMASTERKEYと呼ぶ手法により改ざん済みBIOS自体のアップデートと再起動が必要となるのでは?マルウェアでユーザーを誘導して、ユーザー自身にアップデートさせる方法以外に現実的なシナリオはあるのでしょうか。
脆弱性といえばそうでしょうが、仮想環境下から一般ユーザー権限で攻撃できるSpectreやMeltdownと同レベルで騒がれるべき問題ではないと思います。
管理者権限を奪取しているのならば、不正なUEFIをダウンロードさせることも不正に適用することも再起動も可能になります。アップデートをユーザーにさせる必要はありません。
MASTERKEYだけならBIOS_CNTLレジスタや電子署名で防ぐことは可能かもしれませんね。
"SpectreやMeltdownと同レベルで騒がれるべき問題ではない"というのはまったく持って正しい意見だと思います。
今回の騒動の最大の問題は脆弱性を発表した会社の内容を検証・確認もせず鵜呑みにし、適切な内容を報道できなかったメディアにあります。それどころか元の発表に無かったデマ(物理アクセスが必要云々)を付け加えるなど言語道断です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
「BIOSやCPUマイクロコードを邪悪なものに置き換えられることがセキュリティ問題と言えるのか」 (スコア:-1)
原文読んでないけど100%誤訳でしょ
Re: (スコア:2)
誤訳ではありませんよ.原文も同様の主張です
When was the last time you saw a security advisory that was basically 'if you replace the BIOS or the CPU microcode with an evil version, you might have a security problem?'
誤訳と勘違いされているようですが,Linusが言いたいことは
「PCにウイルスをインストールしたらPCの挙動が変わってしまった.これはセキュリティーホールだ.ケシカラン!」と騒ぐ人は居ないよね?同じようにBIOSやマイクロコードだってそれが置き換え可能なこと自体はセキュリティホールとは言わないよ.ってことだと思います.
つまり至極当然のことしか言ってません.
Re: (スコア:0)
BIOSやマイクロコードはそう簡単に置き換わらないんだがなぁ…
Re: (スコア:0)
管理者権限があれば簡単でしょ?
#元々管理者権限があれば…って脆弱性報告なんだし
Re: (スコア:0)
正しく設定されているのなら管理者権限あっても書き換えられませんよ?
Re: (スコア:1)
Intelのシステムでも書き換えできますがね。
# BIOSベンダーのツール使えばBIOS ROMの内容読めるし、書ける。
# M/Bベンダーが"一般に"配布してるし。
こんなもんを脆弱性と言われたらほぼ全てのコンピューターに同じ脆弱性がある。
言ってることがおかしいって気付かないものですかね?
# ワンタイムROMだったら書き換えできないねー。
Re:「BIOSやCPUマイクロコードを邪悪なものに置き換えられることがセキュリティ問題と言えるのか (スコア:0)
それはあなた、あるいはあなたの使うベンダーが適切にセキュリティ機能を有効化していないだけでしょう?
UEFI/BIOSには不正な書き換えを防止する機能が組み込まれていますよ。
今回の脆弱性はそれを迂回できるから問題なんですよ。
Re:「BIOSやCPUマイクロコードを邪悪なものに置き換えられることがセキュリティ問題と言えるのか (スコア:1)
おう、AMD関係ないなそれ。
そもそも迂回するために書き換えないと使えない脆弱性だからな。
そのために物理アクセスと管理者権限が必要な脆弱性ってなんなんだよ。
ほとんどのコンピューターは物理アクセスと管理者権限持ってたらなんだった出来るだろうがよ。
おかしな事言ってると気付けよ。
Re: (スコア:0)
まず物理アクセスは必要ありません。
"迂回するために書き換える"のではなく、書き換えるために迂回するんですよ?
なにか勘違いしていませんか?
また再度書きますが"物理アクセス"は必要ありません。
Re: (スコア:0)
その迂回のために、管理者権限下でCTS Labs.がMASTERKEYと呼ぶ手法により改ざん済みBIOS自体のアップデートと再起動が必要となるのでは?
マルウェアでユーザーを誘導して、ユーザー自身にアップデートさせる方法以外に現実的なシナリオはあるのでしょうか。
脆弱性といえばそうでしょうが、仮想環境下から一般ユーザー権限で攻撃できるSpectreやMeltdownと同レベルで騒がれるべき問題ではないと思います。
Re: (スコア:0)
管理者権限を奪取しているのならば、不正なUEFIをダウンロードさせることも不正に適用することも再起動も可能になります。
アップデートをユーザーにさせる必要はありません。
MASTERKEYだけならBIOS_CNTLレジスタや電子署名で防ぐことは可能かもしれませんね。
"SpectreやMeltdownと同レベルで騒がれるべき問題ではない"というのはまったく持って正しい意見だと思います。
今回の騒動の最大の問題は脆弱性を発表した会社の内容を検証・確認もせず鵜呑みにし、適切な内容を報道できなかったメディアにあります。
それどころか元の発表に無かったデマ(物理アクセスが必要云々)を付け加えるなど言語道断です。