1: ムヒタ ★ 2018/08/15(水) 11:07:20.94 _USER
Intelなどのプロセッサに発覚した「Spectre」「Meltdown」と呼ばれる脆弱性に関連して、また新たな脆弱性が報告され、Intelが8月14日、セキュリティ情報を公開した。悪用されればセンシティブな情報が流出する恐れがあり、危険度は「高」と位置付けている。
今回の脆弱性は、SpectreやMeltdownと同様に、現代のプロセッサが実装している「投機的実行」の仕組みに関連するもので、Intelでは「L1 Terminal Fault(L1TF)」と命名、この問題を発見した研究者は「Foreshadow」と命名している。
Intelのセキュリティ情報によると、今回の脆弱性は同社の「Software Guard Extensions(SGX)」という機能をサポートしているマイクロプロセッサ製品が影響を受ける。さらに同社で詳しく調べた結果、他のマイクロプロセッサやOS、システム管理モード(SMM)、仮想化ソフトウェア(VMM)に影響を及ぼす可能性のある脆弱性が、さらに2件見つかった。
それぞれの脆弱性は、SGX関連の「CVE-2018-3615」、OS/SMM関連の「CVE-2018-3620」、およびVMM関連の「CVE-2018-3646」に分類されている。共通脆弱性評価システム(CVSS)での評価値は、最も高いCVE-2018-3615が7.9(最高値は10.0)、残る2件は7.1となっている。
これらの脆弱性を突かれた場合、悪質なアプリケーションを利用して、OSメモリや他のアプリケーションのデータが流出する恐れがある。また、VMM関連の脆弱性では、悪質なゲストVMを使ってVMMのメモリや他のゲストVMのメモリデータを流出させることが可能とされる。
今回の脆弱性を発見した研究チームによると、IntelのCPUに搭載されているSGXの機能は本来、システムがたとえ攻撃者に制御された場合でも、ユーザーのデータを守るためにある。ところが、そのSGXのプライバシー機能が逆に事態を悪化させており、「たった1台のSGXマシンが制御されただけで、SGXのエコシステム全体の信頼が損なわれる」と解説している。
IntelはOSやハイパーバイザーソフトウェアのベンダーなどと協力して、この問題への対策を講じると説明している。
2018年08月15日 10時00分
http://www.itmedia.co.jp/news/articles/1808/15/news037.html
27: 名刺は切らしておりまして 2018/08/15(水) 12:32:43.26
>>1
Intelオワッテル
仮想化がNGになると、データセンターとかクラウドで使用不可になるね。
Intelオワッテル
仮想化がNGになると、データセンターとかクラウドで使用不可になるね。
40: 名刺は切らしておりまして 2018/08/15(水) 13:28:55.27
>>1
個人にはあまり関係ないが
クラウド事業やってる外資系IT大企業にとっては死活問題だろう
アマゾンとかGoogleとかきつそう
個人にはあまり関係ないが
クラウド事業やってる外資系IT大企業にとっては死活問題だろう
アマゾンとかGoogleとかきつそう
48: 名刺は切らしておりまして 2018/08/15(水) 15:14:21.32
>>1
SGXって、4Kブルーレイのコピー保護機能だっけ?
SGXって、4Kブルーレイのコピー保護機能だっけ?
50: 名刺は切らしておりまして 2018/08/15(水) 16:47:05.47
>>48
著作権保護とかも含めて、CPUの中に論理的に独立した別CPUを持たせて
よりセキュリティが重要な処理はそちらに行わせるという機能
同様の機能としてARMならTrustedZoneとかがある
さあてインテルはすでに対応済みだけど、
ARMとかインテル以外の企業は大丈夫ですかねー棒ってのが現状
著作権保護とかも含めて、CPUの中に論理的に独立した別CPUを持たせて
よりセキュリティが重要な処理はそちらに行わせるという機能
同様の機能としてARMならTrustedZoneとかがある
さあてインテルはすでに対応済みだけど、
ARMとかインテル以外の企業は大丈夫ですかねー棒ってのが現状
2: 名刺は切らしておりまして 2018/08/15(水) 11:10:32.08
>IntelはOSやハイパーバイザーソフトウェアのベンダーなどと協力して、この問題への対策を講じると説明している。
対策もできてないのに発表しちゃったのかな?
対策もできてないのに発表しちゃったのかな?
13: 名刺は切らしておりまして 2018/08/15(水) 11:29:27.84
>>2
セキュリティ情報なら当たり前だ。
素人は黙ってろや。
セキュリティ情報なら当たり前だ。
素人は黙ってろや。
29: 名刺は切らしておりまして 2018/08/15(水) 12:41:44.64
>>13
普通は対処してから発表
対策もできていないうちに発表するのは業界の慣例に反すると
インテルがGoogleにきれてたじゃん
普通は対処してから発表
対策もできていないうちに発表するのは業界の慣例に反すると
インテルがGoogleにきれてたじゃん
32: 名刺は切らしておりまして 2018/08/15(水) 12:56:38.19
>>29
spectre,meltdownは公開される半年前から内々で話はしてたらしいが、外部に漏れたので仕方なく公開した、のが実情らしい
一方そういう間を経ずに公開したのは、公開元がryzenfallと勝手に名前つけたAMDの脆弱性の方。こちらは攻撃難易度が非常に高く(現実的にはそれ脆弱性?ってレベルのもの)、AMDもすぐに修正すると発表して大した騒ぎもなく収束。
これは、発表した会社がAMDへの告知後間をおかず発表したが(当然AMD側はその行動を批難)が、これは株価操作の意図があると噂されてる
spectre,meltdownは公開される半年前から内々で話はしてたらしいが、外部に漏れたので仕方なく公開した、のが実情らしい
一方そういう間を経ずに公開したのは、公開元がryzenfallと勝手に名前つけたAMDの脆弱性の方。こちらは攻撃難易度が非常に高く(現実的にはそれ脆弱性?ってレベルのもの)、AMDもすぐに修正すると発表して大した騒ぎもなく収束。
これは、発表した会社がAMDへの告知後間をおかず発表したが(当然AMD側はその行動を批難)が、これは株価操作の意図があると噂されてる
4: 名刺は切らしておりまして 2018/08/15(水) 11:10:56.98
サーバーPG開発用には使えんか
15: 名刺は切らしておりまして 2018/08/15(水) 11:30:21.11
>>4
サーバープログラムと言いたいのか?
無能は略語の書き方一つとっても無能だな。
当然結論も馬鹿?で終わる。
サーバープログラムと言いたいのか?
無能は略語の書き方一つとっても無能だな。
当然結論も馬鹿?で終わる。
5: 名刺は切らしておりまして 2018/08/15(水) 11:11:27.61
「大丈夫ですよ、〇〇ですから。」
〇〇に入る言葉を答えよ。
〇〇に入る言葉を答えよ。
21: 名刺は切らしておりまして 2018/08/15(水) 11:35:56.22
>>5
サムスン
サムスン
6: 名刺は切らしておりまして 2018/08/15(水) 11:13:11.50
やっぱ紙と鉛筆と郵便だよね
7: 名刺は切らしておりまして 2018/08/15(水) 11:17:48.38
SkyLake移行がダメっぽいな
11: 名刺は切らしておりまして 2018/08/15(水) 11:24:49.82
どうでもいい
こんなにネガキャンしてもインテル優位は変わらない
うちの会社(大企業)が最近買ったサーバーもインテル
こんなにネガキャンしてもインテル優位は変わらない
うちの会社(大企業)が最近買ったサーバーもインテル
12: 名刺は切らしておりまして 2018/08/15(水) 11:28:53.95
買い替えさせて儲けたいんかw
14: 名刺は切らしておりまして 2018/08/15(水) 11:30:16.72
レンタルサーバやクラウド使ってたら
ユーザー側では何もできんよね
ユーザー側では何もできんよね
16: 名刺は切らしておりまして 2018/08/15(水) 11:30:58.75
>>14
そうだよ。
でもこの脆弱性なら手元にサーバあっても同じだよ。
そうだよ。
でもこの脆弱性なら手元にサーバあっても同じだよ。
17: 名刺は切らしておりまして 2018/08/15(水) 11:31:07.39
ぷぎゃーーーーーーーーーーーーーーーーーーーーーーーー
全世代に渡ってダメダメだなwwwオワコンインテル
全世代に渡ってダメダメだなwwwオワコンインテル
20: 名刺は切らしておりまして 2018/08/15(水) 11:33:23.12
>>17
ここまでくると投機的実行自体がどうなのという話だからね。
性能向上はせいぜい1割。
それなら機能取り外してクロック1割あげた方が良い。
ここまでくると投機的実行自体がどうなのという話だからね。
性能向上はせいぜい1割。
それなら機能取り外してクロック1割あげた方が良い。
19: 名刺は切らしておりまして 2018/08/15(水) 11:31:50.66
もう鯖屋も顧客も諦めてるだろ 対策しようとしたら費用と時間が膨大すぎる
22: 名刺は切らしておりまして 2018/08/15(水) 11:51:35.54
投機的実行は結局無駄な処理が多く処理速度に全く貢献していなかった分野が動画エンコなど最もCPUを使う分野
さっさとこの命令セットをコンパイラから排除しちゃえば問題解決だろ
さっさとこの命令セットをコンパイラから排除しちゃえば問題解決だろ
25: 名刺は切らしておりまして 2018/08/15(水) 12:06:52.11
>>22
それやると性能だだ下がりで、仕方なく一時しのぎの緩和策を続けてる
それやると性能だだ下がりで、仕方なく一時しのぎの緩和策を続けてる
23: 名刺は切らしておりまして 2018/08/15(水) 12:04:51.14
もうIntelは投機実行とHyperthreadを止めて出荷すべき
26: 名刺は切らしておりまして 2018/08/15(水) 12:19:01.73
インテルぼろくそすぎ
ジム頼りだな
ジム頼りだな
34: 名刺は切らしておりまして 2018/08/15(水) 13:18:42.46
何回目の脆弱性だよWW
他に幾つもあるものの続報かと思えば新しいネタとかWW
もう要らないっすWW
既にあるものの情報や対処で手一杯なので追加は要らないっすWW
他に幾つもあるものの続報かと思えば新しいネタとかWW
もう要らないっすWW
既にあるものの情報や対処で手一杯なので追加は要らないっすWW
39: 名刺は切らしておりまして 2018/08/15(水) 13:25:45.67
スズキのバイクかと思った
42: 名刺は切らしておりまして 2018/08/15(水) 13:50:48.18
インテルが逝ってる
43: 名刺は切らしておりまして 2018/08/15(水) 14:12:36.48
うちの会社だとC3Nehemiahにバックドア用チップが実装されてた事の方が大ショック
社内でも「うぉぉ」ちと右往左往したがローカルな機械制御だし「まぁいっか」で終了
社内でも「うぉぉ」ちと右往左往したがローカルな機械制御だし「まぁいっか」で終了
45: 名刺は切らしておりまして 2018/08/15(水) 14:40:04.88
つまり、本当に不味いのは
すでに修正対処済みのインテルではなく、
この問題の影響をインテルと同じように受けてる可能性が非常に高く、しかも対処したとも明言できていないAMDやARMのほうなんだよ
それがこのニュース
すでに修正対処済みのインテルではなく、
この問題の影響をインテルと同じように受けてる可能性が非常に高く、しかも対処したとも明言できていないAMDやARMのほうなんだよ
それがこのニュース
47: 名刺は切らしておりまして 2018/08/15(水) 14:56:11.89
>>45
SGX機能とかいう安全性を装った
脆弱性機能を搭載してるのは
インテルだけですよ
SGX機能とかいう安全性を装った
脆弱性機能を搭載してるのは
インテルだけですよ
49: 名刺は切らしておりまして 2018/08/15(水) 16:42:19.72
>>47
ARM「ウチのトラステットゾーンもこの前脆弱性報告されてるけどな」
ARM「ウチのトラステットゾーンもこの前脆弱性報告されてるけどな」
51: 名刺は切らしておりまして 2018/08/15(水) 17:03:30.32
仮想化を挟むとバグが増えるな
53: 名刺は切らしておりまして 2018/08/15(水) 17:21:35.17
AMDという選択肢があって良かった
54: 名刺は切らしておりまして 2018/08/15(水) 17:33:01.42
クラウド事業者顔面ブルーレイwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
