パスワードを忘れた? アカウント作成
14131653 story
Intel

Intelのセキュリティ機能CSMEに存在する脆弱性、ハードウェアに物理的にアクセスできなくとも悪用できるとの指摘 28

ストーリー by hylom
結局どっちなんだ 部門より

Anonymous Coward曰く、

Intelは2019年、同社CPUに搭載されているセキュリティ機能「Converged Security and Management Engine(CSME)」の不具合を修正するパッチ「Intel-SA-00213」をリリースした。しかし、このパッチでは問題を根本的には解決できないとの指摘が出ている(ZDNet JapanSlashdot)。

Positive Technologiesが米国時間3月5日に公表した報告書によると、過去5年間にリリースされたIntel製チップセットの大半にこの脆弱性が含まれているという。攻撃は検出が不可能で、Intelのパッチは問題を部分的にしか解決しないとしている。

問題の脆弱性(CVE-2019-0090)は、ハードウェアに物理的にアクセスすることで、権限のないユーザーが特権を取得できる可能性があるというもの。しかし、報告によるとこの不具合は物理的にシステムにアクセスできない場合でも、たとえばデバイス上で動作するマルウェアなどがこの脆弱性を悪用することができるという。また、対策としてはCPUを交換することしかないともされている。

一方Intelは、この不具合を悪用するには物理的なアクセスが必要であるとの立場を崩していないようだ。

  • by Anonymous Coward on 2020年03月11日 7時04分 (#3776752)

    最近のIntelはダメダメですな

    ここに返信
    • by Anonymous Coward on 2020年03月11日 10時47分 (#3776863)

      本業がダメすぎて、もうAMDの足を引っ張るしかやること残ってないんだよなぁ。

      「AMDプロセッサーにも脆弱性みつかる。Ryzen 7 / Threadripperまで2011年以降全CPU」
      http://japanese.engadget.com/jp-2020-03-09-amd-ryzen-7-threadripper-20... [engadget.com]

      この研究はオーストリア、フランス、欧州などから幅広く資金を得て行われたものの、追加の「非常に太っ腹な」資金をインテルが提供していたことが指摘されています。

      • by Anonymous Coward on 2020年03月11日 16時04分 (#3777091)

        インテルは昔からこういう屑企業だからね
        脆弱性問題はわかった時点でCEO自ら大量の株売却してたし
        さっさと潰れたほうがいい

      • by Anonymous Coward

        Intelが資金援助した意図――Intelのプロセッサにも適用される可能性を見出したのか、AMDの足を引っ張ろうとしたのか――は知りませんが、これは文字通り「非常に太っ腹な」行為ですね。
        というのも、こういった脆弱性は本来AMD自身が「非常に太っ腹な」予算でセキュリティ研究者に投資するなり、バグ報奨金プログラムを用意するなりして対策すべきことだからです。
        見方によってはIntelが敵に塩を送ったも同然なのです。

        ストーリーの件もそうですが、脆弱性が見つかったことを殊更に問題視するのは古い価値観です。
        コードにバグは混入するし、ネットワーク障害は発生するし、脆弱性は作り込まれてしまいます。
        その影響を最小限に留めるために、どう対処したかが重要視される時代なのですが、えろい人にはそれがわからんのです。

    • by Anonymous Coward

      MEは用もないのにMINIX動かしてるマジモンのバックドアだから

  • いやそれめっちゃ普通じゃない?
    いちいち言う必要あるの?

    ここに返信
    • by Anonymous Coward

      物理的にアクセスできるときのみ悪用できるタイプのものもあるから言う必要はあると思う。

    • by Anonymous Coward

      え?
      物理的アクセスが必要かどうかはレベルが全く違うだろ。

      • by Anonymous Coward

        危険度に天と地ほどの差があるのに何が普通なんだろうね。
        というか脆弱性見るときに一番注目する点じゃないの?
        物理アクセスが必要となると、じゃあなんもしなくていいわってなるしw

        • by Anonymous Coward

          なんにもしないから掃除のおばさんがコンセントを抜きまくる羽目に。

        • by Anonymous Coward

          危険度に天と地ほどの差があるのに何が普通なんだろうね。

          ここはその通りで、遠隔で仕込めるなら危険度は跳ね上がる

          物理アクセスが必要となると、じゃあなんもしなくていいわってなるしw

          こっちはビジネスだとそうも言えなくて、脆弱性によってはノートPC紛失したときに「ロックかけてるので漏洩はない」と断言できなくなる
          もちろん最後の砦であって、それに頼るようではダメだけれども

    • by Anonymous Coward

      バカなの?

  • by Anonymous Coward on 2020年03月11日 8時17分 (#3776774)

    このバグの影響を受けない最新のCPUに置き換えることを推奨している。この脆弱性がないCPUは、Intelの第10世代チップだけだという。

    新しいのに買い替えて売上に貢献してください!ってことですね。

    ここに返信
    • by Anonymous Coward

      CPUの性能向上は緩やかになって稼げなくなったから、脆弱性で買い替えさせていると考えている。その手には乗りたくないので買い替えてない。

    • by Anonymous Coward

      Merom 時代の Core 2 Duo ぐらいが丁度いいのかもしれないですね
      Intel ME とかああいう変な機能入ってなくて

      2GHz 2コア x86_64 対応なので、ゲームとかしないならこれぐらいで十分な気もしますねぇ。。。。

      https://ark.intel.com/content/www/us/en/ark/compare.html?productIds=27255 [intel.com]

      # Tick-Tock モデル懐かしいですね

      • by Anonymous Coward

        それだと、ちょっと今のwin10時代には厳しいです!

  • by Anonymous Coward on 2020年03月11日 8時21分 (#3776776)

    最新CPUだけ不具合がないってなんだかなー
    https://japan.zdnet.com/article/35150406/ [zdnet.com]

    ここに返信
    • by Anonymous Coward

      たまたま修正されていたのだよ

    • by Anonymous Coward

      脆弱性の公開日が2019年5月17日だから、Intelにはもっと前に通知されているでしょうね。
      だから新製品では対策したということでしょう。
      都合よくというよりは通常運転だといえるのでは?
      むしろ最新CPUにも入っていたらそっちの方が謎だと思う。

  • by Anonymous Coward on 2020年03月11日 8時46分 (#3776784)

    CSと MEを別にできんのか?

    ここに返信
  • ってこれを活用したものかね?
    そうすると納得できるんだけどなぁ。

    ここに返信
    • by Anonymous Coward

      その前に検証しようとすると消える謎チップの捕まえ方を教えて欲しい。

      • by Anonymous Coward

        悟ったことを知られてはならない。たぶんそんな話。だとしたらもうバレてるけど。
        「み、みてない、みてないよ…えーっとなんだっけなあれえーっと」

  • by Anonymous Coward on 2020年03月11日 11時55分 (#3776911)

    なのかな? 良く知らないけど。もし、それができるなら、パッチを当てても逆パッチを当て返されてもっかい穴を開けられる可能性があるような。「物理的なアクセスが要る/要らない」で見解が分かれるような深い脆弱性を突っついてくるマルウェアを想定してる話なんだから特に。

    ここに返信
  • by Anonymous Coward on 2020年03月14日 15時02分 (#3779198)

    CometLake, 14nm, SkyLakeアーキテクチャの末裔
    IceLake, 10nm, sunny coveアーキテクチャの初代

    Sunny Coveで治ってます。という理解で合ってるのかな

    ここに返信
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...