2018年1月6日土曜日

「Spectre」(スペクター)と「Meltdown」(メルトダウン)@「Project Zero」





Googleが公開した脆弱性は3種類
そもそも今回の脆弱性は,Googleのセキュリティ研究チーム「Project Zero」が北米時間2018年1月3日に発表したものだ。
情報が錯綜した背景には,Project Zeroの発表したペーパーに,「現代的なCPUアーキテクチャに起因している」という共通点を持ちつつ,それぞれ影響を与えるCPUや影響の範囲が異なる,下に示す3つの脆弱性の存在が挙げられる。
Variant1(CVE-2017-5753):配列の境界チェックバイパス
Variant2(CVE-2017-5715):分岐ターゲットインジェクション
Variant3(CVE-2017-5754):不正なデータキャッシュ読み込み

冒頭で名前だけ挙げたSpectreはこのうちVariant1とVariant2,MeltdownはVariant3の識別名で,すでに英語の解説ペーパーがpdfとして公開されている。


  • Spectre解説ペーパー



  • Meltdown解説ペーパー

  • ※いずれもリンクをクリックするとpdfファイルのダウンロードが始まります。
    http://www.4gamer.net/games/999/G999902/20180105085/









    、、、(爆wwwwwwww

    4 件のコメント:

    匿名 さんのコメント...

    映画のライフ思い出したコワ。
    カルビンが口の中に入って九年もんオエ。

    匿名 さんのコメント...

    nvidiaも、緑な、感じですな、

    ミネ さんのコメント...

    この数週端末という端末が全て死に絶てんてこまい
    間に合わせの泥使いでヒーコラしてるのに
    このクソメンドぃヌースを3日に知りまじきぃーってなってた中

    ベネチンコの進退よりトランプの掃除力のが覿面だっつうことだよなぁ
    とりあえずChromebookは筆頭の候補でちゅぅ

    匿名 さんのコメント...

    IntelのCPUに新たな8つの脆弱性が発見される、内4つは「高い危険性」との評価 - GIGAZINE
    https://gigazine.net/news/20180507-intel-cpus-new-vulnerabilities-found/

    2018年05月07日 12時30分00秒

    by Nikolay Dik

    2018年初頭から、Intel製CPUに内在する脆弱性「Spectre」「Meltdown」に関するニュースが取り沙汰されています。Meltdownクラスの脆弱性はIntel製CPUに特有の脆弱性ですが、Spectreクラスの脆弱性はIntel製CPUだけでなく、Intel・AMD・ARMなど全てのプロセッサに内在する可能性が指摘されており、今回新たに8つのSpectreクラスの脆弱性が指摘されました。

    Spectre-NG: Intel-Prozessoren von neuen hochriskanten Sicherheitslücken betroffen, erste Reaktionen von AMD und Intel | heise Security
    https://www.heise.de/security/meldung/Spectre-NG-Intel-Prozessoren-von-neuen-hochriskanten-Sicherheitsluecken-betroffen-4039302.html

    8 New Spectre-Class Vulnerabilities (Spectre-NG) Found in Intel CPUs
    https://thehackernews.com/2018/05/intel-spectre-vulnerability.html

    ドイツのコンピューター雑誌「Heise」にリークされたこれらの脆弱性は、少数のAMDやARMのプロセッサにも影響を与えるとされており、ジャーナリストは8つの脆弱性のうち4つを「高い危険性」、残りの4つを「中程度の危険性」と評価しています。

    新たに報告された脆弱性は、これまで報告された脆弱性の原因とされるIntel製CPUの設計上の欠陥と同じ欠陥に由来するとされています。今回発見された脆弱性のうち一つは、「仮想マシンにアクセスした攻撃者が容易にホストシステムを攻撃可能になる」とのことで、これまでに発見された脆弱性よりもさらに危険度が増す可能性があるとのこと。

    さらに、「同じサーバー上で作動する他の顧客の仮想マシンを攻撃することも可能であり、データ転送のパスワードや秘密鍵がターゲットとなるかもしれません」とセキュリティ研究者のチームは述べており、AmazonやCloudflareなどのクラウドサービスプロバイダが影響を受けるだろうとしています。


    Intelに対して新たに発見された脆弱性に関して質問したところ、「顧客のデータを保護し、製品のセキュリティを確保することが最優先事項です。潜在的な脅威について共有し、システムの改善に対する努力を続けていきます」と回答し、脆弱性についての具体的な言及はなかったとのこと。

    リークされた情報によれば、Intelはすでに新しい脆弱性についての対応を始めており、第1弾のセキュリティパッチを5月に、第2弾のセキュリティパッチを8月にリリースする予定だそうです。

    コメントを投稿