パスワードを忘れた? アカウント作成
14102363 story
Intel

IntelのCPUで新たな脆弱性が発覚 26

ストーリー by hylom
とはいえ根本的な修正はハード 部門より

Anonymous Coward曰く、

1月27日、おもにIntelの第6世代から第9世代までのCPUに影響する脆弱性(CVE-2020-0548)の存在が公表された。認証済みユーザーの情報が漏洩してしまう可能性があるという脆弱性で、CPUのマイクロコードのアップデートで対応できるという(EngadgetPCWatchGIGAZINESlashdot)。

IntelのCPUにおいては2019年5月に投機実行の脆弱性「Microarchitectural Data Sampling(MDS)」が発覚していたほか、CVE-2020-0549という脆弱性も報告されており、この脆弱性は「CacheOut」と名付けられている。こちらは先の2つの脆弱性と異なり、Intelの最近のCPUでは動作しないことやWebブラウザを使用した攻撃が行えないなどから、危険性はやや低めになっている。Intelはこちらに関しても今後数週間で対策用の追加パッチを提供するとしている。

ただしセキュリティ研究者は、この問題は以前から指摘されており、情報の開示に時間が掛かりすぎている点や、学術的な影響もあるとして、Intelが取っている泥縄的な対策を批判している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hakikuma (47737) on 2020年02月03日 15時53分 (#3755174)
    泥縄っていうより、泥沼にはまっている感じですね。
    • by Anonymous Coward

      インテルはまってる

    • by Anonymous Coward

      泥船ではないと思いたい。

      泥縄:泥棒を捕らえてから縄を綯うの略
      泥船:昔話「かちかち山」に出てくる、泥でつくった沈みやすい船、転じてすぐにだめになりそうな組織や計画などのたとえ

  • by minet (45149) on 2020年02月03日 19時06分 (#3755326) 日記

    Intelだめだなぁ…
    もうAMDでPC組んでメイン乗り換えようっと

    #なおAMDなら安全かどうかは考慮していない
    #新しいPC組む理由がほしいだけ:P

  • by Anonymous Coward on 2020年02月03日 14時33分 (#3755112)

    いつになったら全部塞がるんだ?

  • by Anonymous Coward on 2020年02月03日 14時40分 (#3755120)

    影響は無い!文句言うな!

    という人が寄ってくる確率が高いんですよね。経験から。
    どのくらい影響があるのか、あまりよく分からないのでもしかしたら
    記事書いている人もそうなのかとも思ったり。

    • by upken (38225) on 2020年02月03日 14時51分 (#3755133)

      仮想化環境で、他のVMを覗いたりできないならあまり影響ないかもね

      親コメント
      • by Anonymous Coward

        最近のクラウド業者は、おなじ物理コアで別顧客の仮想マシンを動かさないような制御が入ってるので、
        おなじ物理コア内でのセキュリティ問題は影響を受けにくくなってる

      • by Anonymous Coward

        認証済みユーザー情報ってのがCPUの機能とどう結びつくのか
        サッパリわかんないんだけどVM関連の話なんかね

    • 仮想サーバー関係でしたら、L1D Eviction Sampling / CVE-2020-0549 / INTEL-SA-00329 [intel.com]に

      L1D脆弱性の影響を受けるCPUはL1TF脆弱性の影響を受けるCPUの一部である。そのため、本脆弱性の影響を受けるCPUはすでにL1TFの緩和策を適用しているであろう。そして、L1TFの緩和策を完全に適用することによりセンシティブな情報はL1Dキャッシュに入らなくなる。これにより悪意のあるVMがL1D evictionによりVMMを攻撃することを防ぐことの一助となる。

      って書いてあるね。ただ、「L1TFの緩和策を完全に適用する」はできているのだろうか。
      Intelが発表、キャッシュタイミングを利用したサイドチャネル攻撃の脆弱性「L1TF」 [atmarkit.co.jp]を見ると、なんか大変そうだけど。

      親コメント
    • by Anonymous Coward

      詳しくは分からないけど経験談なら得意だ って童貞みたいな事言ってますね

    • by Anonymous Coward

      いいんだよ。Sandyで。まだまだ戦える。

    • by Anonymous Coward

      (他にIntelのCPUはマイクロコードで対処不能の大量の脆弱性を抱えている事実はひとまず置いておいて)
      この脆弱性についてはマイクロコードパッチで対処可能。

      問題は、マイクロコードでパッチした後のパフォーマンス低下の度合い。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...