パスワードを忘れた? アカウント作成
Close
14102363 story
Intel

IntelのCPUで新たな脆弱性が発覚 26

ストーリー by hylom
とはいえ根本的な修正はハード 部門より

Anonymous Coward曰く、

1月27日、おもにIntelの第6世代から第9世代までのCPUに影響する脆弱性(CVE-2020-0548)の存在が公表された。認証済みユーザーの情報が漏洩してしまう可能性があるという脆弱性で、CPUのマイクロコードのアップデートで対応できるという(EngadgetPCWatchGIGAZINESlashdot)。

IntelのCPUにおいては2019年5月に投機実行の脆弱性「Microarchitectural Data Sampling(MDS)」が発覚していたほか、CVE-2020-0549という脆弱性も報告されており、この脆弱性は「CacheOut」と名付けられている。こちらは先の2つの脆弱性と異なり、Intelの最近のCPUでは動作しないことやWebブラウザを使用した攻撃が行えないなどから、危険性はやや低めになっている。Intelはこちらに関しても今後数週間で対策用の追加パッチを提供するとしている。

ただしセキュリティ研究者は、この問題は以前から指摘されており、情報の開示に時間が掛かりすぎている点や、学術的な影響もあるとして、Intelが取っている泥縄的な対策を批判している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IntelのCPUで新たな脆弱性が発覚 More

  • 泥縄的な対策 (スコア:2)

    by hakikuma (47737) on 2020年02月03日 15時53分 (#3755174)
    泥縄っていうより、泥沼にはまっている感じですね。

    • Re: (スコア:0)

      by Anonymous Coward

      インテルはまってる

    • Re: (スコア:0)

      by Anonymous Coward

      泥船ではないと思いたい。

      泥縄:泥棒を捕らえてから縄を綯うの略
      泥船:昔話「かちかち山」に出てくる、泥でつくった沈みやすい船、転じてすぐにだめになりそうな組織や計画などのたとえ

  • もうAMDで組もうっと (スコア:1)

    by minet (45149) on 2020年02月03日 19時06分 (#3755326) 日記

    Intelだめだなぁ…
    もうAMDでPC組んでメイン乗り換えようっと

    #なおAMDなら安全かどうかは考慮していない
    #新しいPC組む理由がほしいだけ:P

  • こいついつも脆弱性抱えてんな (スコア:0)

    by Anonymous Coward on 2020年02月03日 14時33分 (#3755112)

    いつになったら全部塞がるんだ?

  • (シュバババ (スコア:0)

    by Anonymous Coward on 2020年02月03日 14時40分 (#3755120)

    影響は無い!文句言うな!

    という人が寄ってくる確率が高いんですよね。経験から。
    どのくらい影響があるのか、あまりよく分からないのでもしかしたら
    記事書いている人もそうなのかとも思ったり。

    • Re:(シュバババ (スコア:1)

      by upken (38225) on 2020年02月03日 14時51分 (#3755133)

      仮想化環境で、他のVMを覗いたりできないならあまり影響ないかもね

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        最近のクラウド業者は、おなじ物理コアで別顧客の仮想マシンを動かさないような制御が入ってるので、
        おなじ物理コア内でのセキュリティ問題は影響を受けにくくなってる

      • Re: (スコア:0)

        by Anonymous Coward

        認証済みユーザー情報ってのがCPUの機能とどう結びつくのか
        サッパリわかんないんだけどVM関連の話なんかね

    • 仮想サーバー関係でしたら、L1D Eviction Sampling / CVE-2020-0549 / INTEL-SA-00329 [intel.com]に

      L1D脆弱性の影響を受けるCPUはL1TF脆弱性の影響を受けるCPUの一部である。そのため、本脆弱性の影響を受けるCPUはすでにL1TFの緩和策を適用しているであろう。そして、L1TFの緩和策を完全に適用することによりセンシティブな情報はL1Dキャッシュに入らなくなる。これにより悪意のあるVMがL1D evictionによりVMMを攻撃することを防ぐことの一助となる。

      って書いてあるね。ただ、「L1TFの緩和策を完全に適用する」はできているのだろうか。
      Intelが発表、キャッシュタイミングを利用したサイドチャネル攻撃の脆弱性「L1TF」 [atmarkit.co.jp]を見ると、なんか大変そうだけど。

      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward

      詳しくは分からないけど経験談なら得意だ って童貞みたいな事言ってますね

    • Re: (スコア:0)

      by Anonymous Coward

      いいんだよ。Sandyで。まだまだ戦える。

    • Re: (スコア:0)

      by Anonymous Coward

      (他にIntelのCPUはマイクロコードで対処不能の大量の脆弱性を抱えている事実はひとまず置いておいて)
      この脆弱性についてはマイクロコードパッチで対処可能。

      問題は、マイクロコードでパッチした後のパフォーマンス低下の度合い。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー