Intel、AMD、ARMなどのモダンCPUの投機的実行 (speculative execution)プロセスに悪用可能な脆弱性「Meltdown」「Spectre」が存在することが明らかになった問題で、セキュリティアップデートによるPCパフォーマンスへの影響について、IntelとMicrosoftがそれぞれ、これまでの調査に基づいた情報のアップデートを行った。 Meltdownの「CVE-2017-5754」やSpectreの「CVE-2017-5753」への対応の影響は小規模にとどまりそうだが、Spectreの「CVE-2017-5715」にはCPUのマイクロコードのアップデートが必要であり、パフォーマンスに影響が及ぶ可能性がある。最大30%ほど低下する可能性も指摘されていた。 Intelが1月3日 (米国時間)に公開した「Intel responds to security res
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 新年を迎えたお祝い気分は、2018年最初の大規模セキュリティインシデントによって完全に吹き飛んだ。近年発売されたほとんどプロセッサに、深刻なセキュリティホールが存在するというニュースが流れたのは米国時間1月2日だったが、実は、大手IT企業のエンジニアは、発表までの数週間から数カ月間、「投機的実行のサイドチャネルの脆弱性」についての調査とパッチの開発に取り組んでいた。 「Meltdown」と「Spectre」はほぼすべてのデスクトップOSとモバイルOSの搭載端末に影響を与える大問題だ。(BleepingComputerは、これらの脆弱性に関するアドバイザリ、パッチ、アップデートのリストを提供している) 当面の対策としては、ソフトウェアのア
F-Secureによると、今回見つかったAMTのセキュリティ問題は、極めて簡単に悪用でき、ローカルの攻撃者が短時間でバックドアを仕込むことができてしまうという。 米IntelのビジネスPC向けリモート管理機能「Active Management Technology(AMT)」に、攻撃者が簡単に悪用できてしまう問題が見つかったと、セキュリティ企業のF-Secureが報告した。 AMTは、企業のIT部門や管理サービスプロバイダーが、ユーザーのPCのモニタやメンテナンスを行うために実装されている機能。しかし、今回見つかったAMTのセキュリティ問題は、極めて簡単に悪用でき、たとえ厳重なセキュリティ対策がかけられていたとしても、ローカルの攻撃者が短時間でバックドアを仕込むことができてしまうという。 F-Secureによれば、攻撃者がこの問題を悪用するためには、狙ったPCに物理的にアクセスできる必要
Intelは現在、顧客と連携しながら、このリブート問題についての調査や検証を進めているが、もしIntelのファームウェアアップデートの更新が必要になる場合は、通常のチャネル経由で配信すると説明した。 エンドユーザーに対しては、システムプロバイダーやOSプロバイダーが提供するアップデートの適用を続けるよう促している。 また、Intelは今回の脆弱性に関連したパッチの公開状況や、パフォーマンスに関する情報などを提供するための専用サイトも開設した。 関連記事 脆弱性対策パッチで6~8%のパフォーマンス低下 Intelがベンチマーク公表 「Meltdown」「Spectre」と呼ばれるCPUの脆弱性の対策パッチがパフォーマンス与える影響について、第6~第8世代の「Core」プロセッサとWindows 10を搭載したマシンのベンチマーク結果を公表した。 プロセッサの脆弱性、Microsoftの対策パ
2018年の年明け早々、新たに発見された「プロセッサの脆弱(ぜいじゃく)性」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。 始まりは、英IT情報サイトのThe Registerが公開した1月2日(現地時間)の記事だ。「Intelプロセッサのバグが発見され、ハードウェアの変更が必要であり、ソフトウェアでのセキュリティ対策はパフォーマンスの大幅な低下を引き起こす」との内容で、このニュースが駆け巡って世間を騒がせた。 その後、Googleはこの脆弱性の情報ページを公開し、Intelが「同様の脆弱性はAMDやArmにもあり、対策で協力中」と発表。Microsoftが「セキュリティ対策による性能への影響は一般ユーザー(コンシューマー)では限定的」と報告するなど、関係各社がその影響や対策について、次々と情報を公開しており、一連の騒動の概要が判明してきた。 今回のこの騒動で何が問題
米Intelは1月4日(現地時間)、前日に影響を認めたプロセッサの脆弱性「Meltdown」と「Spectre」の対策の進捗について発表した。既に同社が過去5年以内に製造した大部分のプロセッサ製品の更新プログラムを発行しており、この作業は来週末までに90%達成する見込みという。 米GoogleのProject Zeroチームなど複数の研究者が発見したこれらの脆弱性は、プロセッサの“仕様”を悪用すればコンピュータ内の機密情報を抜き出せるというもの。Intelだけでなく、AMDやArmのプロセッサも影響を受ける。また、PCだけでなく、AWSなどのクラウドサービスで使うサーバ、IoT端末など、様々な製品が影響を受ける可能性がある。 Spectreについては対策が難しく、完全に阻止する手段は今のところ見つかっていないという。Intelは上記の更新プログラムについて「双方の脆弱性に対する免疫を高める
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
米グーグルは2018年1月3日(米国時間)、プロセッサ(CPU)に関わるセキュリティの脆弱性を明らかにした。米AMD、英アーム、米インテルの特定のCPUを含む多数のCPUが対象になるという(グーグルのセキュリティブログ、グーグルによる脆弱性の詳報)。 プログラムの分岐を先読みして実行する機能「投機的実行」を悪用し、本来はアクセスできない領域のメモリーを読み取れる可能性があるという。メモリーにはパスワードや暗号鍵、機密情報が含まれる可能性がある。投機的実行の機能は、パフォーマンス向上のため多くのCPUアーキテクチャーが採用している。 グーグルは2017年に脆弱性を発見。同社チーム(Project Zero)がテストしたところ、1台の仮想マシンから同じホスト上の異なる仮想マシンのメモリーを読み取る権限が得られたという。 グーグルは自社の製品やサービスにおける脆弱性への対応状況も公開した。And
米インテルは米国時間の2018年1月3日、CPUに脆弱性が見つかったことを受けて、他のCPUメーカーやOSベンダーと協力して解決に当たっているとの声明を発表した。インテルは「より多くのソフトウエアやファームウエアの更新版を利用できる来週になってからこの問題を公表する予定だった」と説明している。見つかった脆弱性を悪用すれば機密データを収集できる可能性があるとされるが、「データの破損、改ざん、削除はできないとみている」とした。 同社は発表した声明で「インテル製品に固有の『バグ』や『欠陥』によって悪用されるとのリポートは不正確だ」と反論した。これまでの分析によれば、異なる種類のプロセッサやOSを搭載する複数のコンピューティング機器に悪用の可能性があるという。業界全体の解決策を確立するために「米AMDや英アーム・ホールディングス、複数のOSベンダーなどと緊密に協力している」とした。 インテルは今回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く