アカウント名:
パスワード:
SpectreにしたってCPU上で攻撃者が任意のコードを実行できる時点でセキュリティの根底が揺らいでるので、大半のユーザは「気にした方がいいかもしれないが、過度に心配する必要もない」話なのかと。
気にしなければいけないのはクラウド事業者くらいのものでは?
誰でも影響があるのはブラウザですね。
「Spectre」と「Meltdown」では、ブラウザ上で表示しているWebサイトのJavaScriptコードなども含めた様々なアプリケーションがカーネルメモリを読み出せる問題が確認されました。例えば、スラドの運営者・スラドに貼っている広告iframeにスクリプトを追加できる立場の人が、貴方のPCのカーネルメモリを読み出すことができてしまいます。
今は仮想PCでもブラウザでも、極限まで高速に処理するためにネイティブに近くCPUを叩いてますから、CPUに脆弱性があると他のメモリ領域に影響が出てしまうんです
JavaScriptでMeltdownを使えるという情報の出元を示してほしいかなって。
https://jser.info/2018/01/10/spectremeltdown-fusebox-3.0-nuxt.js-1.0/ [jser.info]
JavaScript の SharedArrayBuffer や performance.now() がサイドチャネル攻撃の影響受け、CPU 脆弱性の利用によって、Sandbox外の状態を観測できる状況になった。
ブラウザの脆弱性ではないものの、CPU脆弱性の悪用を防ぐため、Chrome、Firefox、MSEdge、Safariは、SharedArrayBufferの無効化、performance.now()の精度を下げるパッチを提供した。
そのページ自体に記述は無く、挙げてあるhttps://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/ [webkit.org]...に微妙に書いてあるけど、なんだかなー、って感じが。JavaScriptでCPUの例外を起こせるのは、変だなって。
あー、こないだの話題のときにJavaScriptガーってやたら言い張ってるのがいたのはこれのせいか。
そんな数十億ベースの攻撃対象が四半期放置されて何の問題もおきてないってのが、事実上対策不要ってのを表してるよね。潔癖になりすぎじゃないの。「プログラムにバグがあるなんてありえない!バグ0を保証して当たり前だ!」みたいな。
はいはい。実害でてなければ脆弱性の対応なんてしなくていいよね。お前が個人的に勝手にそのチキンレースに乗るだけならご自由にどうぞ。
>はいはい。実害でてなければ脆弱性の対応なんてしなくていいよね。
そんなの当たり前だろ何言ってんのw 実害無い脆弱性なんか世の中にごまんとある。今年入ってCVSS7以上の脆弱性だけですら、すでに1000件越えてるんだけどさ?
SpectreおよびMeltdownのCVSSスコアは最終的にたった4.7 [jvndb.jvn.jp]というショボい値で落ち着いたんだよ?5以下なんてよっぽどドンピシャの理由無きゃ一々対応してるシステムないわw どんだけコストかけるんだよ。レジェンドStrutsさんはCVSS10点満点を連発してるからレジェンドなんだよ次元が違う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
実際問題としての影響 (スコア:0)
SpectreにしたってCPU上で攻撃者が任意のコードを実行できる時点でセキュリティの根底が揺らいでるので、
大半のユーザは「気にした方がいいかもしれないが、過度に心配する必要もない」話なのかと。
気にしなければいけないのはクラウド事業者くらいのものでは?
ブラウザの JavaScript コードからカーネルメモリを読めてしまう (スコア:0)
誰でも影響があるのはブラウザですね。
「Spectre」と「Meltdown」では、ブラウザ上で表示しているWebサイトのJavaScriptコードなども含めた様々なアプリケーションが
カーネルメモリを読み出せる問題が確認されました。
例えば、スラドの運営者・スラドに貼っている広告iframeにスクリプトを追加できる立場の人が、
貴方のPCのカーネルメモリを読み出すことができてしまいます。
今は仮想PCでもブラウザでも、極限まで高速に処理するためにネイティブに近くCPUを叩いてますから、
CPUに脆弱性があると他のメモリ領域に影響が出てしまうんです
Re: (スコア:2)
JavaScriptでMeltdownを使えるという情報の出元を示してほしいかなって。
Re: (スコア:0)
https://jser.info/2018/01/10/spectremeltdown-fusebox-3.0-nuxt.js-1.0/ [jser.info]
JavaScript の SharedArrayBuffer や performance.now() がサイドチャネル攻撃の影響受け、CPU 脆弱性の利用によって、Sandbox外の状態を観測できる状況になった。
ブラウザの脆弱性ではないものの、CPU脆弱性の悪用を防ぐため、Chrome、Firefox、MSEdge、Safariは、SharedArrayBufferの無効化、performance.now()の精度を下げるパッチを提供した。
Re: (スコア:2)
そのページ自体に記述は無く、挙げてある
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/ [webkit.org]
...に微妙に書いてあるけど、なんだかなー、って感じが。
JavaScriptでCPUの例外を起こせるのは、変だなって。
Re:ブラウザの JavaScript コードからカーネルメモリを読めてしまう (スコア:0)
あー、こないだの話題のときにJavaScriptガーってやたら言い張ってるのがいたのはこれのせいか。
そんな数十億ベースの攻撃対象が四半期放置されて何の問題もおきてないってのが、事実上対策不要ってのを表してるよね。
潔癖になりすぎじゃないの。「プログラムにバグがあるなんてありえない!バグ0を保証して当たり前だ!」みたいな。
Re: (スコア:0)
はいはい。実害でてなければ脆弱性の対応なんてしなくていいよね。
お前が個人的に勝手にそのチキンレースに乗るだけならご自由にどうぞ。
Re: (スコア:0)
>はいはい。実害でてなければ脆弱性の対応なんてしなくていいよね。
そんなの当たり前だろ何言ってんのw 実害無い脆弱性なんか世の中にごまんとある。
今年入ってCVSS7以上の脆弱性だけですら、すでに1000件越えてるんだけどさ?
SpectreおよびMeltdownのCVSSスコアは最終的にたった4.7 [jvndb.jvn.jp]というショボい値で落ち着いたんだよ?
5以下なんてよっぽどドンピシャの理由無きゃ一々対応してるシステムないわw どんだけコストかけるんだよ。
レジェンドStrutsさんはCVSS10点満点を連発してるからレジェンドなんだよ次元が違う。