今回発表されたRyzenの脆弱性をわかりやすく言うと [セキュリティ]
2018年3月13日にイスラエルの“CTS Labs”というセキュリティ企業が発表した、AMD製ZENコアを使うCPU群(とそのチップセットの一つ)が持つとされる13もの脆弱性。
AMDへの報告から1日と経たず公表された事が混乱を生んでいるが、コレって結局どういうコトなのか。
要は“CTS Labs”の発表したAMD製CPUの脆弱性は全て、利用するための前提として事前に「UEFI(BIOS)の書き換えが必要」だったり、「管理者権限の取得が必要」である。
つまりこの脆弱性が利用可能という事は、それ以前に管理者権限の取得が可能なマルウェアに感染していたり、管理者のパスワードが漏れていて自由にコンピュータをいじれる状態なわけで、それってAMDの脆弱性がどうこう言う以前の問題なのでは?という意見があるのも当然である。
この話をコンピュータの知識がゼロな人にも理解出来るような例えで言うと、
「この家は屋内の部屋の鍵が簡単に開けられるし、金庫も鍵が壊れている。だから、玄関の鍵を開けさえすれば、タンスの中身や金庫の中身は盗み放題である。」
と“CTS Labs”は主張しているのだ。(ちなみに「Spectre」や「Meltdown」を同じ例えで言うと、屋内に保管している家の鍵を玄関ドアの郵便受けから棒を差し込んで取り出せる、という感じか?)
彼らの繰り出すWebページやビデオ等が要らぬ不安を煽る内容である事も問題で、セキュリティ企業を名乗る者としてどうなのか。
そして、そもそも悪意のある者に対象となるコンピュータの全てが掌握されている事が前提の脆弱性に、彼らの主張するほどの深刻さがあると言えるのだろうか?
まあ、“CTS Labs”の主張する脆弱性が事実であると仮定すれば、確かにその脆弱性が存在するのは問題であり、AMDは早急に対処すべきである。
なによりも正確な情報が皆無に近い現状、第三者による検証結果と、AMDによる正式な発表が待たれる。
追記
トーバルズ氏、AMD製プロセッサの脆弱性に関するCTS Labsの主張を一蹴
https://japan.zdnet.com/article/35116259/
この記事の内容にはまったく同意する。
ここ数ヶ月の間に公表されたIntel製CPUに絡む脆弱性は、「Spectre」「Meltdown」の問題以外でもざっと探してみただけでこれだけあるが、“CTS Labs”のような手法で騒ぎを起こしているものは一つも無い事を考えると、今回の事態がいかに異常であるかがわかるというものだ。
Intel Management Engineなどに8個の脆弱性が発見
Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性
Intel製CPUに特権の昇格の脆弱性、公式チェックツールがWindows/Linux向けに公開
Intelの内蔵グラフィックス用ドライバに特権昇格の脆弱性
インテル製品に新たな脆弱性発見、フィンランドのセキュリティー企業
関連記事
AMDのZENに深刻なセキュリティの欠陥がある?
https://17inch.blog.so-net.ne.jp/2018-03-15-1
Intel・AMD・ARM等のCPUに関する重大な問題
https://17inch.blog.so-net.ne.jp/2018-01-04
CPU脆弱性問題は結局どうなのか
https://17inch.blog.so-net.ne.jp/2018-01-15
AMDへの報告から1日と経たず公表された事が混乱を生んでいるが、コレって結局どういうコトなのか。
要は“CTS Labs”の発表したAMD製CPUの脆弱性は全て、利用するための前提として事前に「UEFI(BIOS)の書き換えが必要」だったり、「管理者権限の取得が必要」である。
つまりこの脆弱性が利用可能という事は、それ以前に管理者権限の取得が可能なマルウェアに感染していたり、管理者のパスワードが漏れていて自由にコンピュータをいじれる状態なわけで、それってAMDの脆弱性がどうこう言う以前の問題なのでは?という意見があるのも当然である。
この話をコンピュータの知識がゼロな人にも理解出来るような例えで言うと、
「この家は屋内の部屋の鍵が簡単に開けられるし、金庫も鍵が壊れている。だから、玄関の鍵を開けさえすれば、タンスの中身や金庫の中身は盗み放題である。」
と“CTS Labs”は主張しているのだ。(ちなみに「Spectre」や「Meltdown」を同じ例えで言うと、屋内に保管している家の鍵を玄関ドアの郵便受けから棒を差し込んで取り出せる、という感じか?)
彼らの繰り出すWebページやビデオ等が要らぬ不安を煽る内容である事も問題で、セキュリティ企業を名乗る者としてどうなのか。
そして、そもそも悪意のある者に対象となるコンピュータの全てが掌握されている事が前提の脆弱性に、彼らの主張するほどの深刻さがあると言えるのだろうか?
まあ、“CTS Labs”の主張する脆弱性が事実であると仮定すれば、確かにその脆弱性が存在するのは問題であり、AMDは早急に対処すべきである。
なによりも正確な情報が皆無に近い現状、第三者による検証結果と、AMDによる正式な発表が待たれる。
追記
トーバルズ氏、AMD製プロセッサの脆弱性に関するCTS Labsの主張を一蹴
https://japan.zdnet.com/article/35116259/
この記事の内容にはまったく同意する。
ここ数ヶ月の間に公表されたIntel製CPUに絡む脆弱性は、「Spectre」「Meltdown」の問題以外でもざっと探してみただけでこれだけあるが、“CTS Labs”のような手法で騒ぎを起こしているものは一つも無い事を考えると、今回の事態がいかに異常であるかがわかるというものだ。
Intel Management Engineなどに8個の脆弱性が発見
Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性
Intel製CPUに特権の昇格の脆弱性、公式チェックツールがWindows/Linux向けに公開
Intelの内蔵グラフィックス用ドライバに特権昇格の脆弱性
インテル製品に新たな脆弱性発見、フィンランドのセキュリティー企業
関連記事
AMDのZENに深刻なセキュリティの欠陥がある?
https://17inch.blog.so-net.ne.jp/2018-03-15-1
Intel・AMD・ARM等のCPUに関する重大な問題
https://17inch.blog.so-net.ne.jp/2018-01-04
CPU脆弱性問題は結局どうなのか
https://17inch.blog.so-net.ne.jp/2018-01-15
98式軍刀 さん
-
nice! 863
記事 998
テーマ パソコン・インターネット (21位)
プロフィール
ブログを紹介する
コメント 0