AMDのRyzenおよびEPYCプロセッサに脆弱性があるとの報告、開示プロセスを巡っては批判 35
ストーリー by hylom
意図的に騒ぎ立てているのだろうか 部門より
意図的に騒ぎ立てているのだろうか 部門より
AMDのRyzenおよびEPYCシリーズに多数の脆弱性が存在するという話が出ている(Engadget Japanese、CNET Japan、AFP、Slashdot)。
この脆弱性を公表したのはイスラエルのCTS Labs。報告されている脆弱性は大きく4種類に分類できるとのことで、いずれも悪用することで機密情報を盗むことができるという。ただし、これを悪用するには管理者権限での物理アクセスが必要だそうだ。
なお、CTS LabsがAMDへの事前報告を行ってから公表までの期間は1日未満だったことで、公表方法についての批判も出ている。
株価操作? (スコア:3, 興味深い)
http://blog.livedoor.jp/nichepcgamer/archives/1070431576.html [livedoor.jp]
Re:株価操作? (スコア:1)
Linusまで株価操作じゃないかとコメントしだした。うーむなんだろうこれ。
Linus Torvalds slams CTS Labs over AMD vulnerability report [zdnet.com]
Re: (スコア:0)
今のIntelにこんなくだらない陰謀を画策するリソースは無いでしょう。
ここまであからさまだと (スコア:1)
割と重要な事 (スコア:1)
> CTSはまた、台湾の祥碩科技(ASMedia)に製造が委託されているAMDの「ライゼン(Ryzen)」チップセットについて、「現在、悪用可能な開発者用バックドアが埋め込まれた状態で出荷されている」と指摘した。
オフトピだけど、これはストーリー本文に入れるべきでは?
Re: (スコア:0)
「既にハッキングされている」方が「ハッキング可能」より重大だよね
Re: (スコア:0)
重要なのは間違いないけど、まるでRyzenにバックドアがあるかの様に読める記事多くない?
Re: (スコア:0)
今どきはチップセットとCPUは不可分なので同一視しても問題ないかと
Re: (スコア:0)
AMDはIntelと違ってチップセットを使いまわせるので影響範囲があやふやになっちゃいます。
Coffee Lake対応でIntel 300 チップセット作ったのは正直どうかと思う。
# 電力的に余裕があるCPUとM/Bの組み合わせであれば、Intel 100/200チップセットで動作させるBIOSハックが公開中 [overclock.net]
Re: (スコア:0)
書き方が大げさすぎるので。「割と何でもできる想定で用意されていたデバッグモードが、想定以上に何でもできそう」ぐらいの意味。
FUDかな? (スコア:0)
何か、情報の信頼性に疑問が呈されてるそうですが。
イスラエルっちゅーたらIntelのお膝元だからなぁ…。
AMDつったらドイツだし、仲悪そう。
※パレスチナ政策の関係で、イスラエル製品は避けたいのだけど、IntelのCPUは避けにくいのが難点ね。
Re:FUDかな? (スコア:2)
FUDだろうという見方が多数あるようです[要出典]
それにしても、この脆弱性を利用するのに「物理アクセスが必要で管理者権限奪取出来てBIOS書換が出来ること」という脆弱性無くてもいけるんじゃね?というレベルのもの。
Meltdownのように「同一ネットワーク」の方がハードルが低そう。
# どっちにしても物理的なセキュリティ確保は重要ですねっていう…
Re: (スコア:0)
iPhoneにはライフル銃の弾丸を受けると動作を停止する脆弱性がある、っていう毎度のネタと同じようなレベルに見えますねぇ…。
BIOS書き換えって、そこまで侵入できたらなんでもやれるがなw
Re: (スコア:0)
そんな条件で耐えられるx86CPUがむしろ存在するのか?
BIOS書き換え出来れば、マイクロコードも書き換えられるって意味だもんな。
Re: (スコア:0)
タイミングが良すぎますね。
「Intelは今年後半に発売するチップにSpectreとMeltdownのハードウェアレベルの対策を導入」
https://jp.techcrunch.com/2018/03/16/2018-03-15-intel-announces-hardwa... [techcrunch.com]
Re: (スコア:0)
イスラエルっちゅーたらIntelのお膝元だからなぁ…。
バレないようにダミー挟んでIntelがやらせたーとか
Intelの広報代理の下請けが勝手に手を回したーとか
株売り抜けたお偉いさんが勝手にーとか
陰謀論はいくらでも浮かびそう
うちだけがMeltdownで
自業自得割を食うとかゆるせんあいつらのもなんとかしてなんとかしろ
みたいな?
Re: (スコア:0)
いやほんと、正直アホじゃねぇ? って感じしかしないね。
最初はびっくりしたんだが、全部要管理者権限での物理アクセスって。
物理アクセス可能でその上管理者権限とられてるって、もうその時点で終わってるじゃないか。
こんなん大々的に発表しても、結果的にも内容的にもFUDにしかならないね。
Re: (スコア:0)
いや、AMDって言ったら今は中国でしょう。。。
Re:FUDかな? (スコア:1)
TSMCのことだったら中華民国かな。
GLOBALFOUNDRIESだとドイツ、シンガポール、アメリカだね。
Re: (スコア:0)
いや、中国で政府との合資会社作って技術渡してるとか
最近の中華x86CPUはAMDライセンスの物もあるので。
Re: (スコア:0)
去年の秋に Ryzen 7 買ったけど、"DIFFUSED IN USA", "MADE IN CHINA" って書いてある。前処理は US だけど、パッケージングは中国、ってことかな。
Re: (スコア:0)
レイシストが出たぞー
石を投げろー!
Re: (スコア:0)
インティファーダですな!
Re: (スコア:0)
重要な拠点の一つではあるけど、本社所在地でもない場所をお膝元と呼ぶのはなんか違和感が
管理者権限 (スコア:0)
こういう仕組み自体好きじゃないですが
intel等のCPUには仕組みが存在しないんでしょうか?
あれば好き放題できるのはどこも変わらないと思いますが
Re:管理者権限 (スコア:1)
一応リング0の先に仮想環境用やIntel Management Engine用、セキュアストア用の上位のリングがある。
これらのハイパーバイザー層に対して、OSの管理者権限では何でもしていいわけでは無いから、実在するとすれば脆弱性ってのには変わりないのでは。重要性は低いけど。
あとASmediaのボードってなんやねん。水増しかい。BIOSを書き換えますドヤは少し笑った。
結局の所なんか怪しい。
Re: (スコア:0)
「PCを完全に乗っ取った上で、ソフトを改造して脆弱性を突けば、PCを完全に乗っ取れる」という意味不明な内容だから、
デタラメじゃないかと言われてる。
Intelは乗っ取らなくても簡単に情報を盗めるMeltdownで評判を落としたので、その逆恨みじゃないかと言われたら十分信じられるレベル。
Re: (スコア:0)
intelはタネンバーグOSかな
改変されたプロセッサ内のコードがユーザOSの外で好き勝手して検知する方法がほぼないのが問題なんだろうね
まさにこう言う仕組みの弊害
Re: (スコア:0)
やッべw
山岡さんdeなく高木さんだったわ
DHMO (スコア:0)
ものは言い様というか
ぶっちゃけINTELも同じかそれ以下じゃないか
物理アクセスは必要ない (スコア:0)
ひどいデマだ。
https://arstechnica.com/information-technology/2018/03/a-raft-of-flaws... [arstechnica.com]
Re: (スコア:0)
Guido氏が脆弱性を指摘した会社に金をもらっているとか、BIOSを入れ替えるには署名を偽造しないといけないとかいった部分を端折ったため「Arsの名を汚すクソ記事だ」とコメント欄でサンドバッグにされてるのにリンクされてもなあ。
Re: (スコア:0)
仕事でやっているのですからお金を受け取る・支払うのは当然です。
また署名のチェックを回避できるのが今回のバグの根幹なのに何を言ってるんですか?
Re: (スコア:0)
それが現実的な可能性だったらの話だがな。
Re: (スコア:0)
チェックを回避するための仕込みに署名偽造したBIOSが必要ってことじゃないの?