またCPU脆弱性が [セキュリティ]
以下の記事によると、Intel製CPUに新たな脆弱性が見つかったそうだ。
インテル製チップに新たな脆弱性「SPOILER」--修正は困難との指摘も
https://japan.cnet.com/article/35133748/
脆弱性の影響は昨年1月に騒動を起こした「Spectre」と似ている。
例えばブラウザに悪意のあるスクリプトを読み込ませるだけで、情報の抜き取りや乗っ取りが可能な点がそうだ。
違う点は、過去の「Spectre」に対する対策はまったく意味が無い事と、AMDとARMにはこの脆弱性が無いという事。
従って今回発表された脆弱性は、Intel製のCore iシリーズを使ったシステムでのみ問題となる。
この件に関してIntel側は、(以下記事からの引用)
“サイドチャネルの安全を確保するためのソフトウェア開発手法を採用することでソフトウェアを保護できると、われわれは考えている。”
と述べており、また
“Rowhammer型の攻撃に対する緩和機能が実装されたDRAMモジュールは保護された状態を保っているものと考えている。”
とも述べている。
従ってサーバー等では一部の物について完ぺきではないにしろ、すでにある程度対策済みである可能性がある。
一方でそうではないもの全てについては、ソフトウェア的対策が難しい事と、“サーバー用のセキュリティ対策機能付きメモリ”など使えるわけも無いため、出来る対策には脆弱性を排除したハードウェアに交換する以外の方法が無い。
ソフトウェアによる対策がどこまで可能であるか、という事もあるが、対策は「Spectre」と同等かそれよりも難しいようなので、早くて来年以降に出る新しいCPUに世界中のIntel製システムが更新されるか、今回の脆弱性が最初から存在しないAMD製のシステムに乗り換えるまで、この影響は続く事が考えられる。
なお、この問題は昨年12月1日にIntelが報告を受けており、今回の発表のタイミングでなんらかの対策を実施する目途が立っている可能性がある。
その対策がどの程度の効果を持つかわからないが、何もしないよりはマシになる事だけは確かだ。
なので、無力な一消費者でしかない我々は、一週間後のWindows update等で配布されるであろうアップデートファイルを待つ事にしよう。
参考
この脆弱性の論文
SPOILER: Speculative load hazards boost Rowhammer and cache attacks
https://arxiv.org/pdf/1903.00446.pdf
Broadwell以前でも性能低下がほぼない「Spectre V2」対策がWindows 10に実装へ
https://pc.watch.impress.co.jp/docs/news/1172863.html
インテル製チップに新たな脆弱性「SPOILER」--修正は困難との指摘も
https://japan.cnet.com/article/35133748/
脆弱性の影響は昨年1月に騒動を起こした「Spectre」と似ている。
例えばブラウザに悪意のあるスクリプトを読み込ませるだけで、情報の抜き取りや乗っ取りが可能な点がそうだ。
違う点は、過去の「Spectre」に対する対策はまったく意味が無い事と、AMDとARMにはこの脆弱性が無いという事。
従って今回発表された脆弱性は、Intel製のCore iシリーズを使ったシステムでのみ問題となる。
この件に関してIntel側は、(以下記事からの引用)
“サイドチャネルの安全を確保するためのソフトウェア開発手法を採用することでソフトウェアを保護できると、われわれは考えている。”
と述べており、また
“Rowhammer型の攻撃に対する緩和機能が実装されたDRAMモジュールは保護された状態を保っているものと考えている。”
とも述べている。
従ってサーバー等では一部の物について完ぺきではないにしろ、すでにある程度対策済みである可能性がある。
一方でそうではないもの全てについては、ソフトウェア的対策が難しい事と、“サーバー用のセキュリティ対策機能付きメモリ”など使えるわけも無いため、出来る対策には脆弱性を排除したハードウェアに交換する以外の方法が無い。
ソフトウェアによる対策がどこまで可能であるか、という事もあるが、対策は「Spectre」と同等かそれよりも難しいようなので、早くて来年以降に出る新しいCPUに世界中のIntel製システムが更新されるか、今回の脆弱性が最初から存在しないAMD製のシステムに乗り換えるまで、この影響は続く事が考えられる。
なお、この問題は昨年12月1日にIntelが報告を受けており、今回の発表のタイミングでなんらかの対策を実施する目途が立っている可能性がある。
その対策がどの程度の効果を持つかわからないが、何もしないよりはマシになる事だけは確かだ。
なので、無力な一消費者でしかない我々は、一週間後のWindows update等で配布されるであろうアップデートファイルを待つ事にしよう。
参考
この脆弱性の論文
SPOILER: Speculative load hazards boost Rowhammer and cache attacks
https://arxiv.org/pdf/1903.00446.pdf
Broadwell以前でも性能低下がほぼない「Spectre V2」対策がWindows 10に実装へ
https://pc.watch.impress.co.jp/docs/news/1172863.html
コメント 0