Meltdownの再来か、ZombieLoad v2が発表される [セキュリティ]
Intel製CPUに新たな脆弱性「ZombieLoad v2」が発見される、Cascade Lakeにも影響あり
https://gigazine.net/news/20191114-intel-cascade-lake-zombieload/
Intel's Cascade Lake CPUs impacted by new Zombieload v2 attack
https://www.zdnet.com/article/intels-cascade-lake-cpus-impacted-by-new-zombieload-v2-attack/
またしてもIntel製CPUの脆弱性が発表された。
その名も「ZombieLoad v2」。
ZombieLoadは今年5月に発表された脆弱性だが、その続きがあったらしい。
問題の内容としては2018年にテレビでも放送されて大騒ぎになった「Meltdown」の類になる。
以下はZDNetの記事からの抜粋を翻訳したもの。
“「このアプローチの主な利点は、i9-9900KおよびXeon Gold 5218で検証したMeltdownのハードウェア修正を備えたマシンでも機能することです」”
つまり、過去のMeltdown対策としてハードウェアに実装された脆弱性対策も無意味であるという事だ。
記事によるとこの問題はIntel TSX命令セット拡張をサポートする事が条件なので、2013年以降に販売されたすべてのIntel製CPUに影響があり、AMD製のCPUにこの脆弱性は存在しない。
この問題、過去のMeltdownがそうであったように、Webページに悪意のあるスクリプトを埋め込むだけで簡単に悪用が出来る。
従って、一般の個人が私用で使うパソコンも無関係ではない。
だが適切な対応を行うことである程度被害を防ぐ事が可能だ。(ある程度、と言う理由は、この脆弱性に対する対策がいまだ不完全であるため)
具体的にはパソコンのファームウェア(一般にBIOSやUEFIと呼ばれるソフトウェア)のアップデート、そしてOSとアプリケーションソフトウェアのアップデートを出来るだけ速やかに行う事。
この問題が発表されたという事は、早ければ一か月以上前に対策されたソフトウェアが関係各所から出ているはず。
中には自動でアップデートされた物もあるかもしれないが、環境や使い方によっては自動アップデートが出来ないケースもあるので、自分から調べて能動的に対処すべきだ。
それにしても、この件に関する日本語の記事があまりにも少ない。
またIntelから情報統制の命令が出ているのか。
さすがはIntel、私にはこのようなマネは無理だ。
参考:このブログで過去に書いた関係する記事
https://17inch.blog.ss-blog.jp/search/?keyword=Meltdown