月刊 Intel 脆弱性 2020年3月号増刊 付録：AMD製CPUにも脆弱性発見！？

Intel製CPUを襲う新たな脅威「CacheOut」
https://techtarget.itmedia.co.jp/tt/news/2003/04/news10.html

先日「月刊 Intel 脆弱性 2020年3月号」を書いたばかりだが、早くもまたIntel製CPUの脆弱性が発表された。

この記事によると“2018年第4四半期（10～12月）より前に販売されたIntel製プロセッサでデータ漏えいを引き起こす恐れがある”という事で、昨年以降に販売が始まった最新のCPUならば問題がないようだ。

しかしそれ以前のCore i 8000番台を搭載したパソコンはまだ普通に売られている。
これらは全てアウト、という事だ。


またさらにMDSと呼ばれる過去の脆弱性については“既存のIntelの対策についても「MDSを完全に緩和するには不十分」”という事で、最新のパッチを適用した最新のIntel製プロセッサの一部にもまだ脆弱性が存在するという事だ。

これは先日の記事に書いた事と同様の話で、Intelが「対策したからもう安全」と言った事が実際には違った、という事になる。


いずれにせよ現在購入出来るIntel製のCPUのほとんどに問題があるのは間違いない。

アップデート出来るのであれば、最新のUEFI、最新のOS、最新のアプリケーションへ、急いでアップデートすべきだ。

そしてこれらの脆弱性を発見した研究チームは以下を推奨しているという。


・Intel製プロセッサの高速化処理「Intel Hyper-Threading Technology」の無効化

・1次キャッシュメモリのフラッシング（データのクリア）

・処理を高速化するための命令セット「Intel Transactional Synchronization Extensions」（Intel TSX）の無効化



さて。今回のIntel製CPUの脆弱性に関する話題はここまで。

次はAMD製CPUに発見されたという、新しい脆弱性のニュースだ。


AMDプロセッサーにも脆弱性みつかる。Ryzen 7 / Threadripperまで2011年以降全CPU
https://japanese.engadget.com/jp-2020-03-09-amd-ryzen-7-threadripper-2011-cpu.html


この記事によると、“2011年から2019年までのすべてのAMDプロセッサに影響を与え、Zenマイクロアーキテクチャにも絡んでいる”らしく最新のZen2にも該当する問題で、ブラウザのJavascriptを使って攻撃可能という事だ。


ただこの発表、どうにも“過去のCTS Labsの件”と似た、限りなく偽の情報に近いものに見える。

一つは、この件に関するAMDの公式発表に“新しい推測ベースの攻撃ではない”とあること。要は過去に解決済みの問題を別の方向から攻めているだけ、という風に取れる。

何よりこの手の問題には必ず「CVE-xxxx-xxxx」といった記号が存在するが、それが無い事がそもそもおかしい。

AMD Product Security（セキュリティ問題に関するAMDの公式発表）
https://www.amd.com/en/corporate/product-security

実際に過去のSpectreやMeltdownが引き合いに出され、“自由にデータにアクセスできるものではなく「ほんの少しのメタデータ」を取り出せるに過ぎない”と書いているところも過去にAMD製CPUに見つかった問題に似ている。

また、この研究チームがIntelよりかなり多額の資金援助を受けていた事がわかっており、セキュリティに関する報告というよりも単にAMDの足を引っ張ろうとしている、という風に受け取る事も簡単である。


とはいえ、この脆弱性が存在する事そのものは事実。

OSやアプリケーションを最新にすべき点ではIntel製のCPUの例とまったく同様であるため、もしアップデートを怠っているのであればやっておいた方が良いのは言うまでもない。