Intel、古いプロセッサーでのSpectre 2対策をあきらめる 80
ストーリー by headless
困難 部門より
困難 部門より
Intelは2日、Spectre/Meltdown脆弱性に対するマイクロコードアップデート(MCU)提供状況リストの更新版を公開した(Microcode Revision Guidance: PDF、
The Registerの記事)。
更新版では3月版(PDF)で「Planning」または「Pre-Beta」となっていた古い製品に対し、Spectre Variant 2対策を含むMCUをリリースしないことが明らかにされた。MCU提供の対象外となるのは、Nehalemマイクロアーキテクチャー製品の一部(Bloomfield/Bloomfield Xeon/Clarksfield/Gulftown/Jasper Forest)とPenrynマイクロアーキテクチャー製品(Harpertown Xeon/Penryn/Penryn QC/Wolfdale/Wolfdale Xeon/Yorkfield/Yorkfield Xeon)、およびAtom x3シリーズの一部(SoFIA 3GR)となっている。なお、Penrynよりも古い製品は元からリストに含まれていない(AtomはSilvermont以降のみ)。
Intelはこれらの製品にMCUを提供しない理由として、マイクロアーキテクチャーの特性上、現実的なSpectre Variant 2の緩和が難しいこと、システムソフトウェアのサポートが限られていること、製品の多くがクローズドシステムで使われており、攻撃を受ける可能性が低いことを挙げている。
一方、MCU提供対象から外れた製品を除く77製品のうち、75製品のMCUが完成しており、残るCoffee Lake S (6+2) Xeon EとCoffee Lake U43eが製品候補となっている。
更新版では3月版(PDF)で「Planning」または「Pre-Beta」となっていた古い製品に対し、Spectre Variant 2対策を含むMCUをリリースしないことが明らかにされた。MCU提供の対象外となるのは、Nehalemマイクロアーキテクチャー製品の一部(Bloomfield/Bloomfield Xeon/Clarksfield/Gulftown/Jasper Forest)とPenrynマイクロアーキテクチャー製品(Harpertown Xeon/Penryn/Penryn QC/Wolfdale/Wolfdale Xeon/Yorkfield/Yorkfield Xeon)、およびAtom x3シリーズの一部(SoFIA 3GR)となっている。なお、Penrynよりも古い製品は元からリストに含まれていない(AtomはSilvermont以降のみ)。
Intelはこれらの製品にMCUを提供しない理由として、マイクロアーキテクチャーの特性上、現実的なSpectre Variant 2の緩和が難しいこと、システムソフトウェアのサポートが限られていること、製品の多くがクローズドシステムで使われており、攻撃を受ける可能性が低いことを挙げている。
一方、MCU提供対象から外れた製品を除く77製品のうち、75製品のMCUが完成しており、残るCoffee Lake S (6+2) Xeon EとCoffee Lake U43eが製品候補となっている。
大雑把に言って (スコア:5, 参考になる)
商品名で言うと、
・CORE 2:全部非対応
・ATOM:一部のみ対応
・CORE i 第1世代(プロセッサーナンバー3桁):一部のみ対応
・CORE i 第2世代以降(プロセッサーナンバー4桁):全部対応
ということでいいのかな。
Re:大雑把に言って (スコア:2)
ノートパソコンやSTBや掲示板装置なんかだと、Core2世代やそれよりも前のものが結構残ってる気がするんですよね。Atomブランドであるないに拘らず。
古いし対策が大変だから対策しない。って前例を下手に作ると、特に組み込み方面では、大きなリスク要因として捉えられて、更新時期に「Intel CPUが使われてないこと」と言う条件が優先度高い状態で顧客(たいてい企業)から出されていくような気がするんですけど。
# 今の段階ではあんましかんがえてない企業でも、実際にSpectreを使ったワーム
# で顧客や自社の秘密度の高いデータを抜き取られたとか、秘密鍵を抜き取られたとか
# 出たら、一気に問題視されるでしょうね。
組み込み装置だと、数万台とか数十万台で調達される装置も結構ありますから(例えばケーブルテレビのSTBとか工場の制御ノードとか)、今の目先の利益のために、向こう数十年の利益を放棄するような気がものすごくしますけど。
Re:大雑把に言って (スコア:2)
Intelはけっこう手早くディスコンにする、ともうみんなわかってるんでは。
最近も、Galileo、Edison、Jouleを切ったところだし、昔からCPUソケットなんかはあっという間。
ComputeCardもいつまで続くのやら。。。
Re: (スコア:0)
Intelってのはみんな技術屋だと思ってるけど、あれは金融屋で、組み込みなんて真面目にやる気がないんだよ。産業用は寡占を維持するためにやってるだけ。
解決不可能なのにアップデートを出してみたり、ベンチが落ちるから対策機能をデフォルト無効にしようとしたり、こじつけてAMDにも風評をなすりつけようとしたり、そういう会社だから。
Re: (スコア:0)
思うだけでなくこういうコメントを書き残してしまう人のメンタリティって想像すると微笑ましいよな
Re: (スコア:0)
つ「鏡」
Re: (スコア:0)
なるほど、わかりやすいです
まぁ妥当な判断かと。
結局提供形態はどうなるの (スコア:1)
サーバー機はメーカーのサポート範囲でBIOS更新という事なのだろうけど、クライアント機はOSのカーネルモジュールという提供形態なのかな?
p.s. 最古のHighSierra機、Macbook Pro 2010はとうとう死亡確定か
Re:結局提供形態はどうなるの (スコア:1)
MacBook Mid 2010 (Core2 Duo 2.4GHz)使ってます。
いいかげん、リプレースですかねぇ…。
レインボーカーソルぐるぐるは見飽きたけど、まだお金かけるほどじゃないか
な…と思っていましたが、今回の流れで十分リプレースの動機にはなりました。
# しかし、先立つものが…(泣)
死して屍 拾う者なし
え…このCPU普通に使ってるけど… (スコア:0)
Core 2 Quad Q9550 2.83GHz ×4コア
たしかに10年まえの製品だけど、近年のCPUの速度向上がとてもゆっくりだったのでGPUだけ更新してSteamのゲームとかバリバリ現役です
性能的になんの問題もなく使えてるんだけど、買い換えないとやばいの?
年明けからこの話題いろいろ読んできたけど、結局どんな危険があるのかよくわかんない。
企業とかならこんな古いCPUは減価償却済みで買い換えればいいだろうけど、
プライベートで使ってるマシンでは大した性能向上(主にゲームで)もないのに買い換えたくない。
いいアドバイスありませんか?
Re:え…このCPU普通に使ってるけど… (スコア:3, すばらしい洞察)
買い替えなさい、以上。
Re: (スコア:0)
GPUを上げてもCPUがボトルネックになるので買い替えたほうが快適になりますね。
Re: (スコア:0)
え、でもまだ使えるんですけど。
使って大丈夫ですよね?
「大丈夫ですよ。脅してるのは関係者だけです」ベストアンサー
Re: (スコア:0)
オフラインで使うなら構わないと思いますよ。
オンラインにはしないでください。
Re: (スコア:0)
家電製品もそうだけど、まだ使えても適当なタイミングで買い替えるのがベストなんだよ
Re:え…このCPU普通に使ってるけど… (スコア:2)
local exploitなんだから一人で使っているデスクトップPCでは他の侵入手段との合わせ技でしか影響が出ない。
そのまま使っていればいいのでは。
Re: (スコア:0)
普通にCPUが足引っ張ってGPUで待ちが入ってフレームレートで見れば半分くらいに落ちてると思うよ
Spectre/Meltdownの対策CPUが出るのはまだ先だから買い替えてもどうにもならないけど、電気代だけ考えても買い換えたら半年しないでペイしそう
Re:え…このCPU普通に使ってるけど… (スコア:1)
電気代は言う程安くならんだろ
違うと言うならワット毎時の具体的数字出して定量的に言ってくれ
Re: (スコア:0)
fpsなんて数字みなきゃ年寄りには判らないよ。
20下回ってなきゃ十分。
Re: (スコア:0)
>GPUだけ更新してSteamのゲームとかバリバリ現役です
ゲーム専用機ならいいんじゃね?
たまにハングアップしたりセーブデータが消えたところで、実害ないし。
#踏み台にされるサーバーとかじゃ論外だけど。
Re: (スコア:0)
最近のセロリンとPentiumの中間ぐらいだよな、I/O考えるともうちょっと下がるけど
Re: (スコア:0)
わいのXeon X3360(Q9550のXeon版)もC2QのQ9400も放置になった
ネット中心でゲームはしないし何の不自由もしてないんだけどなぁ
Re: (スコア:0)
この攻撃における最悪の被害を想定して、被害の影響を受けない又は許容可能なレベルだと判断できたらそのまま使う。
わかり易い例で言えば、完全オフラインのインストール済みゲーム専用PCならいくら古くてもOK的なやつ。
この攻撃はたしか攻撃側が指定した計算を自分のPCで実行することで成立するはずだから、
ゲームアプリのベンダを信用している状態ならWebブラウザ(コンポーネント含む)使わなければOK…かな?
ただし一箇所でも広告が読み込まれるような状態であれば駄目。
そこで動くブラウザコンポーネント内で動くJavaScriptとして攻撃コードが実行可能だから攻撃コード入り広告が貼られたら被弾する。
Re: (スコア:0)
気持ちは分かるが、Apple A10XやSnapdragon845にマルチスレッド性能で肉薄もしくは抜かれているよ。
デスクトップAtomがあった時点でマルチスレッド性能でCore2 duoは負けていた。
Core2とSandyBridge以降は明確に性能が違う。OSの操作レスポンスで分かってしまう。
電源がへたるだろうから、その時点でマザーCPU変えろ。
Coffee LakeのCore i7か、RYZEN 7辺り、世界が変わる。
Re: (スコア:0)
Atomは単一コアの性能がねぇ。
比較的新しいBayTrailですらCore2の半分(その後は大して進化していないので)。
これもすごく体感できる。
Re: (スコア:0)
いいCPUだ
中身はCore2を2つ1セットにした4コアだけど、
AMD Ryzenに圧されるまでIntelはコンシューマのCorei7は4Core8ThredのCache 8M上限だったのだが
このCPUはL2 Cacheが合計で12MBあるのが意外に効くんだよね、クロックより
DDR2なのでDIMMは2GBx4=8GB が限界なのでそっちが先にネックになりそう
サポート終了済み (スコア:0)
サポート終了済みだから知らないということでしょう。
Sandy Bridge以前はサポート終了済みみたいですからね。
https://www.intel.co.jp/content/www/jp/ja/support/articles/000006105/p... [intel.co.jp]
大山鳴動して鼠も出てこない (スコア:0)
現実問題3ヶ月経って実害0なんだから今後も何か起こる可能性は低いんだよね。
あ、あの役に立たない実証コードコピペは実害とは言わないので念のためw
そうはいっても政府系とか金融系かかえてるクラウドファームは億が一にも
可能性残せないから対応せざるを得ないんだけど。だからググルとかMSはうるさい。
Re: (スコア:0)
その通り。
確かに脆弱性ではあるのだけれど、条件を揃えるコストが膨大で更に欲しい情報を手に入れるとなるともはや非現実的。
楕円曲線暗号だって偶然パスワードが当たる可能性はゼロじゃないようなもので。
Re: (スコア:0)
それはそうだろうけどやっぱりjavascriptでキーボードドライバのI/O全部盗めるのは問題だよな。
Re: (スコア:0)
猿がシェイクスピアを書き出すよりは現実的なんでしょうけどねw
セキュリティはコスト対効果なんで、うちはほっときますが。
Re: (スコア:0)
でもjavascriptでキーボードドライバのI/O全部盗むのは比較的簡単だと思うが。
Re: (スコア:0)
それは現時点でSpectre関係あるんすかね?
Re: (スコア:0)
Amazonはお怒りなん?
Re: (スコア:0)
別にgoogleもMSもAmazonも、対策は出てるし対応完了してるから
もう過去の事案になってるよ。C2Dなんて遺物使ってるわけも無いし。
ただ、googleが自分とこだけ対策終わって、MSやAmazonが未対応の時点で
不意打ちリークしたことについてはお怒りだったけどね。
Re: (スコア:0)
そもそも、セキュリティでは情報を抜き取られたことが被害者に認知されたり証拠を残したりするのは三流の仕事だ。一番怖いのは認知も検出もされていないのに必要な情報だけはしっかり盗まれていることだ。
知らぬが仏 (スコア:0)
つ Spectre/Meltdown脆弱性を利用したマルウェアが発見 [impress.co.jp]
普通なんでもネットにつながる時代なのに… (スコア:0)
IoTかどうかという以前の話として、ファームウェアをアップデートするのにネットにつなぐことが普通に行われてるし、その装置自体は繋がなくても、ネットからファームウェアをダウンロードした端末を使って、ファームウェアのアップデートを行う訳で。
内部で、外部と隔絶されたネットワークを構成してる場合も少なくない。
Stuxnet [wikipedia.org]のように、スタンドアローンで(隔絶されたネットワークの中にウィルスを運び込む「運び屋」の支援で)感染できるウィルスを使って、施設をクラッシュさせるとか、そういう攻撃に対して、クローズドネットワークのシステムが結構脆弱だという事が、多分意図的に無視されてますよね。
これ、工場などの組み込み用途でIntel CPUを使うな。と言う話になってくんじゃないでうsかね。
Re:普通なんでもネットにつながる時代なのに… (スコア:1)
Re: (スコア:0)
Intel以外に高速なCPUのベンダーが一つも存在しないという明快な事実を、多分意図的に無視されてますよね。
Re: (スコア:0)
あ?おいらのRyzenやA10Xを馬鹿にするのか
PCをIoTを言い張るのは流石に無理がある。IntelのIoT SoCの試みは全て頓挫した。
組込用途PCのCPUの要件は、ARKでEmbeddedオプションが付いている事。別に全部が高速である必要は無い。
最近はパチンコもPCアーキテクチャでGTX1050とか積んでいるらしいな。
現実的に言い換えるなら「PCアーキテクチャで組み込みオプション付きのCPUを売ってくれるセミコンダクタはIntelしか無い」となる。
Nvidiaの自動運転の試みはTegraとセットとなっている。特定用途向け組込機器用SoCも含めるならTegraは十分に早いCPUだと思うよ。
Re: (スコア:0)
言いたいことをすげー分かってもらえてる感があるんだけど、Intelから離れるパスって巧妙に潰されてない? いまIntelの型落ちを使ってるところに、AMDの組み込みやARMのハイエンドにスイッチすれば
省電力高性能、って言われても、一瞬躊躇わない? で、そんなことないと思う状況だったら初めからIntel使ってなくない? Geode潰された時は困りましたわぁ、とか、十年前はPPCやSH、そっからMarvellに
乗り換えまして次はTegraも視野に、ええAtomですか何か嫌だなぁ、って雰囲気じゃない?
Re: (スコア:0)
Spectre Variant 2対策が行われれば
そういう攻撃に関する問題は解決するのでしょうか?
というかピンポイントでいいのであればソフトウェアで対策を行えばよいのではないでしょうか?
Intelの力だけで解決できる問題ではないと言っているだけです。
Re: (スコア:0)
スラドではネットワークに「繋がってる」「繋がってない」の二元論や、繋がってなくても記録メディア経由も含めて
「全ての脆弱性にパッチが必要がある」としてセキュリティを論じる風潮があるけど、現実のリスクは不特定多数からの
インバウンド通信が発生するオープンシステムと「それ以外」では天と地以上の差があるんだけどね。
「それ以外」の方では、システム内の別の「何か」を先に攻略する必要があるのでソーシャルエンジニアリングも
組み合わせなければいけなかったり、内部システムを把握してなければいけなかったりで攻撃側が相応のコストを
払わないと攻撃を受ける可
やりたくないと言え (スコア:0)
SoFIAなんてクローズシステムどころか、スマホ・タブレット用じゃないですか。私一台持ってますよ。
28nmプロセスでIntelの工場で製造していないものに加え、すでにこの分野からIntel実質撤退しているので、やりたくない・予算を投入する意義が少ないのが本音でしょう。
CPUリスト (スコア:0)
Penryn
Core 2の殆どのリリース
Pentium T4200/4300/4400/4500など
Celeron 900/925, SU2300, T3100/3300/3500, ULV763など
Celeron M ULV 722/723/743など
Yorkfield
Core 2の殆どのリリース
Xeon L3360/3320/3330/3350/3360/3370/3380など
Wolfdale
Core 2の殆どのリリース
Pentium E5200/5300/5400/5500/5700/5800/6300/6500/6500K/6600/6700/6800など
Celeron E3200/3300/3400/3500など
Xeon E3110/3120(E0)/5205/5220, L3110(E0)/5215(E0)/5240,
X5260/5270(E0)/5272など
Bloomfield
Core i7-920/930/940/950/960/965/975など
Xeon W3520/3530/3540/3550/3565/3570/3580など
Clarksfield
Core i7-720QM/740QM/820QM/840QM/920XM/940XMなど
Gulftown
Core i7-970/980/980X/990Xなど
Xeon W3690など
Jasper Forest
Celeron P1053など
Xeon EC3528/3529/5509/5539/5549, LC3518/3528/5518/5528など
Harpertown
Xeon L5408/5410/5420/5430(E0), E5405/5410/5420/5430/5440/5450/5462/5472,
X5450/5460/5470/5472(C0)/5482(C0)/5492(E0)など
SoFIA 3GR
Atom x3-C3200RK/3230RKなど
Re: (スコア:0)
「段落」とか「インデント」って知ってる?
IntelやPCだけの問題ではないような? (スコア:0)
インフラ系の組込みに使われているARMとかのCPUにも同じ脆弱性を抱えていて修正不能なんだからこっちのほうがさらに影響が多いと思うが具体的対策は聞かない
例えばルーターとかのメモリの中の情報も高度なハッカーなら読み取れる可能性はある
Re: (スコア:0)
そもそもハック済みじゃないと読み取れないよ。
悪意のあるアプリ・ソフトを動かす可能性の高いスマホやパブリッククラウドはリスク高いけど、
任意のソフトを導入する・される可能性の低いインフラ系はリスク低い。
Re: (スコア:0)
動作している組み込み系のやつにこの脆弱性を利用するプログラムを仕込むのは大変だと思うけど簡単にできる?