Intelのセキュリティ機能CSMEに存在する脆弱性、ハードウェアに物理的にアクセスできなくとも悪用できるとの指摘 30
ストーリー by hylom
結局どっちなんだ 部門より
結局どっちなんだ 部門より
Anonymous Coward曰く、
Intelは2019年、同社CPUに搭載されているセキュリティ機能「Converged Security and Management Engine(CSME)」の不具合を修正するパッチ「Intel-SA-00213」をリリースした。しかし、このパッチでは問題を根本的には解決できないとの指摘が出ている(ZDNet Japan、Slashdot)。
Positive Technologiesが米国時間3月5日に公表した報告書によると、過去5年間にリリースされたIntel製チップセットの大半にこの脆弱性が含まれているという。攻撃は検出が不可能で、Intelのパッチは問題を部分的にしか解決しないとしている。
問題の脆弱性(CVE-2019-0090)は、ハードウェアに物理的にアクセスすることで、権限のないユーザーが特権を取得できる可能性があるというもの。しかし、報告によるとこの不具合は物理的にシステムにアクセスできない場合でも、たとえばデバイス上で動作するマルウェアなどがこの脆弱性を悪用することができるという。また、対策としてはCPUを交換することしかないともされている。
一方Intelは、この不具合を悪用するには物理的なアクセスが必要であるとの立場を崩していないようだ。
殿様商売 (スコア:1)
インテルよ、インテルよ。なぜ消費者を見捨てたのですか。
Re:殿様商売 (スコア:1)
Intelに脆弱性はいってる (スコア:0)
最近のIntelはダメダメですな
Re:Intelに脆弱性はいってる (スコア:2, 参考になる)
本業がダメすぎて、もうAMDの足を引っ張るしかやること残ってないんだよなぁ。
「AMDプロセッサーにも脆弱性みつかる。Ryzen 7 / Threadripperまで2011年以降全CPU」
http://japanese.engadget.com/jp-2020-03-09-amd-ryzen-7-threadripper-20... [engadget.com]
この研究はオーストリア、フランス、欧州などから幅広く資金を得て行われたものの、追加の「非常に太っ腹な」資金をインテルが提供していたことが指摘されています。
Re:Intelに脆弱性はいってる (スコア:1)
インテルは昔からこういう屑企業だからね
脆弱性問題はわかった時点でCEO自ら大量の株売却してたし
さっさと潰れたほうがいい
Re: (スコア:0)
Intelが資金援助した意図――Intelのプロセッサにも適用される可能性を見出したのか、AMDの足を引っ張ろうとしたのか――は知りませんが、これは文字通り「非常に太っ腹な」行為ですね。
というのも、こういった脆弱性は本来AMD自身が「非常に太っ腹な」予算でセキュリティ研究者に投資するなり、バグ報奨金プログラムを用意するなりして対策すべきことだからです。
見方によってはIntelが敵に塩を送ったも同然なのです。
ストーリーの件もそうですが、脆弱性が見つかったことを殊更に問題視するのは古い価値観です。
コードにバグは混入するし、ネットワーク障害は発生するし、脆弱性は作り込まれてしまいます。
その影響を最小限に留めるために、どう対処したかが重要視される時代なのですが、えろい人にはそれがわからんのです。
Re: (スコア:0)
MEは用もないのにMINIX動かしてるマジモンのバックドアだから
ハードウェアに物理的にアクセスできなくとも悪用できる (スコア:0)
いやそれめっちゃ普通じゃない?
いちいち言う必要あるの?
Re: (スコア:0)
物理的にアクセスできるときのみ悪用できるタイプのものもあるから言う必要はあると思う。
Re: (スコア:0)
え?
物理的アクセスが必要かどうかはレベルが全く違うだろ。
Re: (スコア:0)
危険度に天と地ほどの差があるのに何が普通なんだろうね。
というか脆弱性見るときに一番注目する点じゃないの?
物理アクセスが必要となると、じゃあなんもしなくていいわってなるしw
Re: (スコア:0)
なんにもしないから掃除のおばさんがコンセントを抜きまくる羽目に。
Re: (スコア:0)
ここはその通りで、遠隔で仕込めるなら危険度は跳ね上がる
こっちはビジネスだとそうも言えなくて、脆弱性によってはノートPC紛失したときに「ロックかけてるので漏洩はない」と断言できなくなる
もちろん最後の砦であって、それに頼るようではダメだけれども
Re: (スコア:0)
バカなの?
まとめると (スコア:0)
このバグの影響を受けない最新のCPUに置き換えることを推奨している。この脆弱性がないCPUは、Intelの第10世代チップだけだという。
新しいのに買い替えて売上に貢献してください!ってことですね。
Re: (スコア:0)
CPUの性能向上は緩やかになって稼げなくなったから、脆弱性で買い替えさせていると考えている。その手には乗りたくないので買い替えてない。
Re:まとめると (スコア:1)
買い替えずにWindows XPを使い続ける人とまったく同じ理論ですね
うじゃうじゃ
Re: (スコア:0)
そう。XPのほうが、いろいろと解除しやすいので。
# 学生諸君。社会人になってしまう前に、いろんな攻防戦に参加しよう。
Re: (スコア:0)
ちゃんと妄想に取りつかれた病気の人って言わなきゃ
Re: (スコア:0)
Merom 時代の Core 2 Duo ぐらいが丁度いいのかもしれないですね
Intel ME とかああいう変な機能入ってなくて
2GHz 2コア x86_64 対応なので、ゲームとかしないならこれぐらいで十分な気もしますねぇ。。。。
https://ark.intel.com/content/www/us/en/ark/compare.html?productIds=27255 [intel.com]
# Tick-Tock モデル懐かしいですね
Re: (スコア:0)
それだと、ちょっと今のwin10時代には厳しいです!
都合良く (スコア:0)
最新CPUだけ不具合がないってなんだかなー
https://japan.zdnet.com/article/35150406/ [zdnet.com]
Re: (スコア:0)
たまたま修正されていたのだよ
Re: (スコア:0)
脆弱性の公開日が2019年5月17日だから、Intelにはもっと前に通知されているでしょうね。
だから新製品では対策したということでしょう。
都合よくというよりは通常運転だといえるのでは?
むしろ最新CPUにも入っていたらそっちの方が謎だと思う。
CS ME (スコア:0)
CSと MEを別にできんのか?
昔話題になった某マザーボードに謎チップをつけて乗っ取り (スコア:0)
ってこれを活用したものかね?
そうすると納得できるんだけどなぁ。
Re: (スコア:0)
その前に検証しようとすると消える謎チップの捕まえ方を教えて欲しい。
Re: (スコア:0)
悟ったことを知られてはならない。たぶんそんな話。だとしたらもうバレてるけど。
「み、みてない、みてないよ…えーっとなんだっけなあれえーっと」
ハードウェアに物理的にアクセスしてパッチ (スコア:0)
なのかな? 良く知らないけど。もし、それができるなら、パッチを当てても逆パッチを当て返されてもっかい穴を開けられる可能性があるような。「物理的なアクセスが要る/要らない」で見解が分かれるような深い脆弱性を突っついてくるマルウェアを想定してる話なんだから特に。
第10世代って2つあるんだが (スコア:0)
CometLake, 14nm, SkyLakeアーキテクチャの末裔
IceLake, 10nm, sunny coveアーキテクチャの初代
Sunny Coveで治ってます。という理解で合ってるのかな