Intelのセキュリティ機能CSMEに存在する脆弱性、ハードウェアに物理的にアクセスできなくとも悪用できるとの指摘 30
ストーリー by hylom
結局どっちなんだ 部門より
結局どっちなんだ 部門より
Anonymous Coward曰く、
Intelは2019年、同社CPUに搭載されているセキュリティ機能「Converged Security and Management Engine(CSME)」の不具合を修正するパッチ「Intel-SA-00213」をリリースした。しかし、このパッチでは問題を根本的には解決できないとの指摘が出ている(ZDNet Japan、Slashdot)。
Positive Technologiesが米国時間3月5日に公表した報告書によると、過去5年間にリリースされたIntel製チップセットの大半にこの脆弱性が含まれているという。攻撃は検出が不可能で、Intelのパッチは問題を部分的にしか解決しないとしている。
問題の脆弱性(CVE-2019-0090)は、ハードウェアに物理的にアクセスすることで、権限のないユーザーが特権を取得できる可能性があるというもの。しかし、報告によるとこの不具合は物理的にシステムにアクセスできない場合でも、たとえばデバイス上で動作するマルウェアなどがこの脆弱性を悪用することができるという。また、対策としてはCPUを交換することしかないともされている。
一方Intelは、この不具合を悪用するには物理的なアクセスが必要であるとの立場を崩していないようだ。