パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「Spectre」に似たCPUの脆弱性8つが新たに発見される」記事へのコメント

  • by Anonymous Coward on 2018年05月09日 0時28分 (#3404899)

    SpectreにしたってCPU上で攻撃者が任意のコードを実行できる時点でセキュリティの根底が揺らいでるので、
    大半のユーザは「気にした方がいいかもしれないが、過度に心配する必要もない」話なのかと。

    気にしなければいけないのはクラウド事業者くらいのものでは?

    • 誰でも影響があるのはブラウザですね。

      「Spectre」と「Meltdown」では、ブラウザ上で表示しているWebサイトのJavaScriptコードなども含めた様々なアプリケーションが
      カーネルメモリを読み出せる問題が確認されました。
      例えば、スラドの運営者・スラドに貼っている広告iframeにスクリプトを追加できる立場の人が、
      貴方のPCのカーネルメモリを読み出すことができてしまいます。

      今は仮想PCでもブラウザでも、極限まで高速に処理するためにネイティブに近くCPUを叩いてますから、
      CPUに脆弱性があると他のメモリ領域に影響が出てしまうんです

      • JavaScriptでMeltdownを使えるという情報の出元を示してほしいかなって。

        親コメント
        • by Anonymous Coward

          https://jser.info/2018/01/10/spectremeltdown-fusebox-3.0-nuxt.js-1.0/ [jser.info]

          JavaScript の SharedArrayBuffer や performance.now() がサイドチャネル攻撃の影響受け、CPU 脆弱性の利用によって、Sandbox外の状態を観測できる状況になった。

          ブラウザの脆弱性ではないものの、CPU脆弱性の悪用を防ぐため、Chrome、Firefox、MSEdge、Safariは、SharedArrayBufferの無効化、performance.now()の精度を下げるパッチを提供した。

          • そのページ自体に記述は無く、挙げてある
            https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/ [webkit.org]
            ...に微妙に書いてあるけど、なんだかなー、って感じが。
            JavaScriptでCPUの例外を起こせるのは、変だなって。

            親コメント
            • x86の例外って常に発生してるもんじゃありませんでしたっけ? I/Oとか、swapとか、OSに制御が渡る時とか。
              日本語的な意味の異常事態ではないですよ。

              # “上司”とか言い換えた方がいいのかなって
              # “uncaught exception has occurred” → “上司不在事案が発生しました”
              # これなら決裁権者が呼ばれること自体は異常ではないし

              親コメント
            • 訂正。
              例外はMeltdownに必要かどうかは分からない。

              カーネル領域のような触れてはいけない場所にアクセスを試みられるスクリプト実行環境だとすれば、それは何か間違っている。

              親コメント
              • by Anonymous Coward

                まぁ、JscriptならActiveX経由でカーネル領域も触れるがw

            • by Anonymous Coward

              あー、こないだの話題のときにJavaScriptガーってやたら言い張ってるのがいたのはこれのせいか。

              そんな数十億ベースの攻撃対象が四半期放置されて何の問題もおきてないってのが、事実上対策不要ってのを表してるよね。
              潔癖になりすぎじゃないの。「プログラムにバグがあるなんてありえない!バグ0を保証して当たり前だ!」みたいな。

              • by Anonymous Coward

                はいはい。実害でてなければ脆弱性の対応なんてしなくていいよね。
                お前が個人的に勝手にそのチキンレースに乗るだけならご自由にどうぞ。

              • by Anonymous Coward

                >はいはい。実害でてなければ脆弱性の対応なんてしなくていいよね。

                そんなの当たり前だろ何言ってんのw 実害無い脆弱性なんか世の中にごまんとある。
                今年入ってCVSS7以上の脆弱性だけですら、すでに1000件越えてるんだけどさ?

                SpectreおよびMeltdownのCVSSスコアは最終的にたった4.7 [jvndb.jvn.jp]というショボい値で落ち着いたんだよ?
                5以下なんてよっぽどドンピシャの理由無きゃ一々対応してるシステムないわw どんだけコストかけるんだよ。
                レジェンドStrutsさんはCVSS10点満点を連発してるからレジェンドなんだよ次元が違う。

            • by Anonymous Coward

              仮にJavaScriptで攻撃コード実行出来たとしても最近のブラウザは強制アップデートするので過度な心配も不要。
              まぁ、修正不能な形でJavaScriptのセキュリティを突破出来るなら話は別だが。

            • by Anonymous Coward

              > JavaScriptでCPUの例外を起こせるのは、変だなって。

              CPUの例外処理にはタスク切り替え処理も含まれますよ

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...