パスワードを忘れた? アカウント作成
13592619 story
セキュリティ

「Spectre」に似たCPUの脆弱性8つが新たに発見される 60

ストーリー by hylom
詳細を待て 部門より

今年1月に明らかになったCPUの脆弱性「Meltdown」や「Spectre」などと同種の脆弱性が新たに見つかったようだ。ドイツのコンピュータ関連メディアであるHeiseが報じたものNeowinGIGAZINEIntelリリースReutersSlashdot)。

MeltdownやSpectreについてはすでに対策パッチがリリースされるなど、騒動はいったん収束しつつある。しかし、今回発見されたものはSpectreと似たようなメカニズムを使うものであるが、MeltdownやSpectre向けのパッチでは対応できないようだ。

発見された脆弱性は合計で8つあり、すでにCPUメーカーに対しては情報を開示しているという。しかしまだその対策方法は公になっていないため、脆弱性の詳細についてはまだ隠されている。うち4つの脆弱性は「高リスク」、残りの4つは「中程度のリスク」に分類されるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年05月08日 19時22分 (#3404746)

    今回のも Intel が一番影響を受ける模様。
    AMD が大丈夫なのは、たまたまなので、今のところ慎重だね。けどまぁ Ryzen にはアーキテクチャ的に影響は出ないでしょう。

    • がんばれ、ジム・ケラー。CPUの未来はどっちだ?

      ああぁ、うちのIvyBridgeちゃんがまた遅くなるのか。

      親コメント
      • CPUの未来ならそろそろ終わりだよね、もうそんなに速くならないでしょ
        うちのサンディーちゃんはOSパッチのみのなんちゃってガード状態だぜ
        今年9月にトゥーム・レイダーの新作出るみたいだから
        そのときRyzenで組み直す予定
        ほんとサンディー優秀過ぎる
        4core/4thread/3.6GHzだけどゲームしなかったらあと10年は使える

        親コメント
        • by Anonymous Coward

          4core/4thread/3.6GHzだけどゲームしなかったらあと10年は使える

          けど4k 60fpsの動画再生にはきついんだよねぇ
          MadVRでいじってるとはいえ
          IvyBridge 4C8T + GTX970で
          CPU100%、GPU75%だもの

          /*
          MeltDown前はもうちょい余裕あったんだけどなぁ
          Spectreはマザー屋さんに足切りされ>
          */

          • by Anonymous Coward

            4k 60fpsの動画見たいって時点で一般的な使い道じゃないでしょ。
            YoutubeのHDが720p 30fpsなので、普通はこれが最も高負荷な画質。

            今後、Codecの進化でCPUパワーが必要になるかもしれないけど2倍や3倍になるわけでもないので10年は行けるんじゃ・・・

        • by Anonymous Coward

          うちはGW中にi7-2600KなサンディーちゃんのPCがお亡くなりになりました。
          電源入れ替えでダメだったので多分マザー、運が悪いとCPU。

          これで夏のボーナスが出たら(出るの?)安心して新しいのを組めます。
          でも正直なところ、あと1年ぐらい先まで待ったほうがいい予感。
          # と考え出すと、いつまで経っても新しいのが組めない。
          # サンディーちゃんの前はノースウッドちゃんだったからなぁ…

    • by Anonymous Coward on 2018年05月08日 19時49分 (#3404765)

      この場合のAMDは大丈夫っていうのは、'90終盤~2000年代半ばぐらいまで言われてた「MacはWindowsよりセキュリティー面で有利」と同じ類の話だろうけどね。
      設計が強固だからではなく、普及率の問題で研究してる人も、攻撃対象に選ぶ人も少ないだけっていう。

      親コメント
      • 別の攻撃方法を試せばいけるのかもしれないが、同じ攻撃方法だと全く不可能か成功率が低いみたいな感じだと思うな。
        # 対応している命令が微妙に違うとかそもそも攻撃に必要な命令に対応していないからとか

        AMD64とIntel64って結構な差があった気がする。
        あとはキャッシュの管理の仕方が違うとかね。

        普及率云々は全くの的外れだと思うな。

        親コメント
        • by Anonymous Coward

          AMDがどうやってもintelに追い付けないキャッシュのバンド幅で救われていたりして

        • by Anonymous Coward

          >AMD64とIntel64って結構な差があった気がする。
          >あとはキャッシュの管理の仕方が違うとかね。

          そうだね。
          違うのであれば、それようの攻撃を探さないといけないよね。
          AMDとIntelで攻撃手法を考えるわけにはいかないからどちらか優先するよね。

          もういわなくてもわかるね。(にっこり)

          • by Anonymous Coward

            Intelを攻撃する意図で脆弱性を探してるってのがあんたの妄想だってのは分かるよ

          • by Anonymous Coward

            手法に係るセキュリティ問題って構造云々では無いよ。
            だからARMでも問題視されたのだろうし、他社プロセッサのメーカーも利用者も一斉に検証始めたのだろうに。

        • by Anonymous Coward

          AMDのCPUがメルトダウンの対象外とされるのは、メルトダウンの原因となる挙動をしないからです。
          散々既出だと思いますが、メルトダウンという脆弱性で利用されるCPUの挙動というのは、
          例外が発生した時に、それより前に(先読みして)実行済みだった処理結果を捨てる(取り消す)際、
          その捨てられる処理によってキャッシュに書き込まれたデータは消されずに残るというものです。
          なので、そういう挙動をしないCPUにはこの手法による脆弱性は存在しない事になります。
          例えば、例外を発生させる可能性のある命令がある場合は、その結果が確定するまで待ってから次の命令を処理するとか。

      • by Anonymous Coward

        ベンチマークではっきりIntelだけ遅くなってしまうのは明かになってるでしょ。
        勘違いも甚しい。

      • by Anonymous Coward

        Chip レベルの話なので、ユーザーの数の話なぞしておりませんよ。
        設計が強固だからではなく、キャッシュのアーキテクチャの話なのです。
        とりあえず Meltdown で Intel が何をしたか、理解できてからにしてください。
        速度を稼ぐために頑張りすぎちゃって、禁断の領域に手を出した。ってことだから。

        • by Anonymous Coward

          Chip レベルの話なので、ユーザーの数の話なぞしておりませんよ。
          設計が強固だからではなく、キャッシュのアーキテクチャの話なのです。

          AMDなら、プロセッサのアーキテクチャに起因する(AMD製品固有の)脆弱性は発生しえないってこと?
          それならAMDへの乗り換えを割と本気で検討するけど。

      • by Anonymous Coward

        どちらかとゆーと、
        A:「まずい、敵の○○攻撃だ!☓☓システムがダウンしてしまう!」
        ???:「俺に任せろ!」
        A:「ああっ!そうか、旧型機ならこの攻撃の影響を受けない!・・頑張れ、地球の未来はお前にかかっている・・・」
        的な状態かと。

    • by Anonymous Coward on 2018年05月09日 5時10分 (#3404936)

      うーん、印象操作のために脆弱性を欠陥と言い替えちゃうのはなあ。
      そりゃあ広義にはバグも欠陥ではあるけど、言いたいのはそういうことではあるまい。

      自動車メーカーあたりからソフト会社に天下りしてきた、ソフトウエア開発の
      ことをなんも知らない偉いさんが、
      「バグや脆弱性はけしからん。バグは全部取り除いてから出荷すること。(きりっ)」
      と、言ってるような雰囲気だ。

      「Spectre」みたいな脆弱性が、なんかすっごく新しい物みたいに思ってるかもしれないけど、
      平行プログラミングとかスーパースカラとか知ってれば。誰だって想像できる話じゃないかな。

      そういう脆弱性があるんじゃねとは、一度くらいは考えたことがあると思う。
      ただ、そこから実際の攻撃手法を捻り出すのが難しかっただけで。

      親コメント
      • by Anonymous Coward

        じゃあほかにどういう脆弱性があり得るのか言ってみろよ。
        誰だって想像できる話なんだったら対策されてるよ。

    • by Anonymous Coward

      > まぁ Meltdown はインテルの欠陥だから。
      > けどまぁ Ryzen にはアーキテクチャ的に影響は出ないでしょう。

      嘘を広めるのはやめましょう

    • by Anonymous Coward

      今でもコア性能じゃ揺るぎないのに、Ryzen登場だけでなく件の脆弱性でIntelも無視できないダメージだもんな
      AMDも大問題だ!って怪しいサイトが出たりしたくらいだし

      • by Anonymous Coward

        と思い込みたい人が喧伝してるだけで、特に売り上げにダメージ無いんだよ。
        騒がれただけで実害ゼロに押さえ込んだからね。供給力と実績考えたら対抗馬は無い。

        • by Anonymous Coward

          確かに、うまいこと宣伝で一般人の脳内からは消し去ったからな。ディスクアクセスの度にパイプラインストール起こしてDBやCDNでは阿鼻叫喚らしいが。Netflixが配信サーバのコストが急激に増えたと困ってたな。

        • EPYC 7301は総額11.5万くらい、郵便局での受取時に消費税+地方消費税+通関手数料で0.48万円かかったのでだいたい12万くらい。マザーボードが9.48万ですが、Core i9-7980XEがこの合計くらいすることを考えるとかなりお買い得です。もうひとつCPU追加しても誤差みたいなものだ。

  • by Anonymous Coward on 2018年05月08日 21時04分 (#3404811)

    のちに妖怪大戦争と呼ばれる戦いが幕をあけるのでした(大嘘)。
    (妖怪というより亡霊か)

    • by Anonymous Coward

      百鬼夜行?

      # ハードウェアというかワイヤーロジックで100件もセキュリティのバグが出たら、、

      • by Anonymous Coward on 2018年05月08日 23時04分 (#3404867)

        百鬼夜行?

        # ハードウェアというかワイヤーロジックで100件もセキュリティのバグが出たら、、

        タイトロープ上で百鬼夜行とかシュールすぎて噴いた
        まず脱落したのは初代スペクター。。。
        。。。
        。。。
        。。。
        おいまて。。。
        そもそもスペクターに足なんぞあるのか?

        親コメント
    • by Anonymous Coward

      なんかようかい? (きみのせなかに)

  • by Anonymous Coward on 2018年05月08日 23時07分 (#3404869)
  • by Anonymous Coward on 2018年05月08日 23時09分 (#3404871)

    新しい惑星を発見したみたいな感じだね。

    • by Anonymous Coward

      名前を考えるのがだんだん辛くなってきそう

  • by Anonymous Coward on 2018年05月09日 0時28分 (#3404899)

    SpectreにしたってCPU上で攻撃者が任意のコードを実行できる時点でセキュリティの根底が揺らいでるので、
    大半のユーザは「気にした方がいいかもしれないが、過度に心配する必要もない」話なのかと。

    気にしなければいけないのはクラウド事業者くらいのものでは?

    • 誰でも影響があるのはブラウザですね。

      「Spectre」と「Meltdown」では、ブラウザ上で表示しているWebサイトのJavaScriptコードなども含めた様々なアプリケーションが
      カーネルメモリを読み出せる問題が確認されました。
      例えば、スラドの運営者・スラドに貼っている広告iframeにスクリプトを追加できる立場の人が、
      貴方のPCのカーネルメモリを読み出すことができてしまいます。

      今は仮想PCでもブラウザでも、極限まで高速に処理するためにネイティブに近くCPUを叩いてますから、
      CPUに脆弱性があると他のメモリ領域に影響が出てしまうんです

  • by Anonymous Coward on 2018年05月09日 1時53分 (#3404914)

    こりゃまだしばらくは類似の奴がみつかるぞ。しばらくCPUは買い控えだなっ。どうせそんなに変わり映えしないしね。

    • by Anonymous Coward

      しばらくCPUは買い控えだなっ。どうせそんなに

  • by Anonymous Coward on 2018年05月09日 3時09分 (#3404926)

    脆弱性を見つけて発表しては空売り
    できるだろうなあ

    • by Anonymous Coward

      買う側が多かったら大損ですよ、たとえ早く情報得られたとしても100%儲からない

      • by Anonymous Coward

        そんなこと言い出したら、売る側が多かったら大儲けですよ

        タラレバの話は不毛です

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...